PRIMEIRA DECISÃO DA ANPD: Autarquia lembra as empresas que não basta estar em conformidade com a LGPD, é preciso provar essa conformidade
Nesses últimos 5(cinco) anos desde que foi publicada a Lei Geral de Proteção de Dados (Lei n. 13.709/2018) temos acompanhado noticias esporádicas de punições para empresas multinacionais por órgãos de proteção aos direitos do consumidor (Ex.: Procon e Ministério Público).
Ressalvadas algumas queixas pelos consumidores, as empresas acreditavam que o âmbito de fiscalização à LGPD seria muito restrito e destinado somente a grandes empresas que se destacam pelo grande volume de tratamento de dados.
Ainda, devido há uma ausência de regulamentação, a Autoridade Nacional de Proteção de Dados se dedicou nesses primeiros anos da LGPD a editar guias orientativos, cartilhas, templates e participações em seminários, no sentido de auxiliar as empresas a se adequarem à norma.
Contudo, no início do presente ano, a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD n. 04/2023 que regulamentou a dosimetria e aplicação de penalidades por descumprimento às disposições da LGPD.
Ainda, em uma entrevista realizada pelo Diretor Presidente da ANPD, o Sr. Waldemar Gonçalves, informou que em 2022 foram apresentados mais de 1.043 requerimentos de denúncias e que haveriam punições ao longo de 2023.
Na entrevista o Presidente do Órgão informou que as punições trariam mais visibilidade para a ANPD e consequente passaria um recado para as empresas que não estão buscando a adequação à LGPD.
Dessa forma, no último dia 06/07/2023 veio a primeira decisão administrativa da ANPD aplicando uma penalidade a uma empresa por descumprimento às disposições da Lei Geral de Proteção de Dados.
Se esperava que, como outros órgãos de controle, a primeira punição seria aplicada a grandes empresas, empresas multinacionais, que frequentemente vemos noticias de vazamento de dados.
Contudo, a primeira penalidade foi para uma empresa de pequeno porte localizada no Estado do Espirito Santo.
No procedimento fiscalizatório, mesmo sendo mais simplificada a adequação à LGPD por empresas de pequeno porte, a empresa fiscalizada não conseguiu comprovar minimamente sua adequação à LGPD e ficaram caracterizadas as seguintes irregularidades: 1) Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais; 2) Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais; 3) Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento;4) Art. 41 – falta de comprovação da indicação do encarregado; e 5) Art. 5º – Não atendimento às requisições da ANPD.
Assim, foi aplicada uma penalidade de advertência e duas multas à empresa, uma multa simples no valor de R$ 7.200,00 (sete mil e duzentos reais) por tratar dados sem base legal e outra multa R$ 7.200,00 (sete mil e duzentos reais) por não atender as requisições da ANPD quando a empresa foi notificada.
E foi uníssono o entendimento entre todos profissionais de proteção de dados (advogados e encarregados) que essa primeira decisão foi um recado para a sociedade que TODAS as empresas devem estar adequadas à LGPD, independente do porte.
Além disto, se extrai da decisão que não basta que as empresas estejam adequadas à LGPD pois é necessário provar essa adequação atendendo às requisições da ANPD. Isso reforça a necessidade de as empresas estarem preparadas não apenas em termos de políticas e processos internos, mas também na capacidade de demonstrar a conformidade quando solicitado pelo órgão regulador.
Portanto, a decisão da ANPD de punir uma empresa de pequeno porte por descumprimento da LGPD é um recado claro para todas as empresas, independentemente do porte. A ANPD está comprometida em fazer cumprir a lei e está enviando uma mensagem de que não tolerará violações.