PORTFÓLIO
ANPD aplica primeira sanção por violação à LGPD
Autarquia multou empresa do setor de telemarketing em R$ 14,4 mil
Por Joice Bacelo, Valor — São Paulo
A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira sanção a uma empresa por violação à Lei Geral de Proteção de Dados (LGPD). A Telekall Infoservice, do setor de telemarketing, recebeu advertência e duas multas, no valor de R$ 7,2 mil cada.
Advogados dizem que essa decisão é um aviso ao mercado de que a lei “pegou” e quem não se adequar — grande ou pequeno, como no caso da Telekall, uma microempresa do Espírito Santo — será punido.
“Pequenas e médias empresas que não adequaram as suas práticas aos termos da legislação agora precisarão adotar outra postura ou vão enfrentar as consequências”, diz Felipe Palhares, sócio da área de proteção de dados do escritório BMA.
A expectativa do mercado, agora, se volta para o julgamento de casos envolvendo a administração pública e empresas maiores. Dentre elas, as “big techs”.
Existem oito processos administrativos em andamento no órgão. A Telekall é a única do setor privado nessa lista. Os outros sete casos envolvem a administração pública e, segundo a ANPD, estão em fase de instrução.
O Ministério da Saúde responde em dois deles. Os outros têm como alvo o Instituto de Pesquisas Jardim Botânico do Rio de Janeiro, a Secretaria de Saúde de Santa Catarina, o Instituto de Assistência ao Servidor Público Estadual de São Paulo e a Secretaria de Desenvolvimento Social, Criança e Juventude de Pernambuco.
Outros 16 casos ainda estão em fase de investigação e podem — a depender do resultado das fiscalizações — se transformar em processo administrativo sancionatório. Telegram, WhatsApp, Claro, Serasa e a RaiaDrogasil constam nessa lista.
A multa por violação à LGPD pode chegar a R$ 50 milhões na esfera privada. “E não é só isso. A sanção da ANPD pode gerar um problema reputacional, que, às vezes, custa mais caro do que a multa”, avalia Henrique Cunha, sócio do dcom Advogados.
Ele se refere ao impacto que isso pode ter nas relações comerciais. “Grandes empresas têm a preocupação de contratar empresas que estão pensando em proteção de dados. Porque isso pode gerar uma cadeia de responsabilidade. Quem não tem boas práticas vai enfrentar problemas”, frisa o advogado.
Já o setor público, se penalizado pela ANPD, pode sofrer: advertência com prazo para adoção de medidas corretivas; dar publicidade à infração após apurada e confirmada; o bloqueio ou eliminação dos dados pessoais a que se refere a infração; a suspensão do funcionamento do banco de dados relativo à infração, dentre outros.
A Telekall foi punida por violar três artigos da LGPD. São infrações por ausência de indicação da pessoa responsável pela proteção dos dados dentro da empresa, ausência de base legal para o tratamento dos dados pessoais e falta de colaboração com o processo fiscalizatório.
Especialista em privacidade e proteção de dados, Clarice De La Cerda, do escritório Bhering Advogados, avalia que a sanção — de R$ 14,4 mil no total — representa alto impacto para o empresário que foi punido.
“No caso, tratou-se de microempresário individual, com capital social de R$ 20 mil e número de funcionários estimado de 1 a 10”, ela detalha, com base nas informações disponibilizadas pela ANPD.
Mas essa decisão é ainda de primeira instância. A companhia pode recorrer ao Conselho Diretor — composto pelos cinco diretores da ANPD — e se mantida a sanção também pode levar o caso para o Judiciário.
A advogada Nádia Cunha, do escritório Jorge Associados Advogados, chama atenção, além disso, que a decisão de primeira instância garante ao infrator a possibilidade de reduzir o valor da multa em 25% caso renuncie ao direito de recorrer.
O Valor não conseguiu localizar os responsáveis pela Telekall para comentar o caso.
Apesar de a ANPD ter tornado essa decisão pública, o caso em si — com os detalhes que ocasionaram a sanção e toda fundamentação para a aplicação da advertência e das multas — está sob sigilo.
“Seria importante que disponibilizassem pelo menos um resumo dos fatos. O mercado precisa saber como a autoridade está interpretando as operações. A lei é instrutiva, pedagógica, dá os limites, mas se torna viva quando é aplicada pelo julgador”, pondera Juliana Abrusio, sócia da área digital e proteção de dados do escritório de advocacia Machado Meyer.
Ela cita que nesse caso, por exemplo, a ANPD afirma ter havido infração ao artigo 7º da lei, ou seja, a empresa foi condenada por falta de base legal para processar os dados. Não existia ou era indevida.
“Dá a entender que ela fazia monetização de dados. E isso não é ilegal. Há formas de se fazer enriquecimento. No caso, parece, a empresa não tomou os cuidados necessários e acabou sendo condenada. Por isso a importância de uma decisão mais detalhada”, diz Juliana Abrusio.
A Lei Geral de Proteção de Dados — nº 13.709 — foi aprovada em 2018 e entrou em vigor em setembro de 2020. Mas a aplicação de sanções foi autorizada somente em fevereiro deste ano de 2023, com a publicação da Resolução nº 4, pela ANPD, que estabeleceu as regras para o cálculo das penas.
