A Autoridade Nacional de Proteção de Dados (ANPD) emitiu recentemente sua primeira multa relacionada à Lei Geral de Proteção de Dados Pessoais (LGPD), surpreendendo muitos no setor empresarial. O caso envolveu uma pequena empresa de telemarketing que não cumpriu vários aspectos da LGPD, resultando em uma multa total de R$ 14.000,00. Este artigo explora os detalhes dessa autuação, esclarece os equívocos cometidos pela empresa e oferece orientações para evitar tais contratempos.

A Multa e o Caso de Ubatuba

A empresa em questão foi investigada por oferecer uma lista de contatos de WhatsApp de eleitores para fins de campanha eleitoral na eleição municipal de 2020 em Ubatuba/SP. A fiscalização revelou várias falhas:

1. Falta de respaldo legal para o tratamento de dados
   A LGPD estabelece que o tratamento de dados pessoais deve ter um fundamento legal, como o consentimento expresso da pessoa cujos dados estão sendo processados. No caso em questão, se a empresa não tinha permissão explícita dos eleitores para coletar e usar seus dados, isso constituiria uma violação direta da LGPD.
2. Falta de documentação e registro das operações de tratamento
   A LGPD e outras regulamentações de proteção de dados exigem uma documentação completa de como os dados são coletados, armazenados e usados. A falta de documentação não apenas dificulta a auditoria e a fiscalização, mas também pode ser em si uma violação da lei.
3. Ausência de um relatório de impacto
   Um relatório de impacto sobre a proteção de dados (Data Protection Impact Assessment – DPIA) é muitas vezes um requisito para atividades de tratamento de dados que possam resultar em alto risco para os direitos e liberdades dos titulares dos dados. A ausência de tal relatório pode indicar uma falta de devida diligência por parte da empresa em avaliar os riscos associados às suas operações de tratamento de dados.
4. Falta de designação de um Encarregado de Proteção de Dados (DPO)
   Um DPO é geralmente necessário para garantir que uma organização esteja em conformidade com as leis de proteção de dados. Ele é responsável por supervisionar as atividades de tratamento de dados e por ser o ponto de contato entre a empresa e qualquer autoridade de supervisão. A falta de um DPO pode ser vista como uma falha organizacional significativa.

Um dos pontos cruciais foi essa falta de um DPO, o profissional encarregado de garantir a conformidade com a LGPD. Este profissional atua como elo de ligação entre a empresa, os titulares de dados e a ANPD. O DPO também é responsável por promover uma cultura de proteção de dados na empresa, auxiliando na conformidade legal.

“A primeira multa da ANPD serve como um aviso contundente de que a conformidade com a LGPD não é opcional.”

Erros Comuns e Vulnerabilidades

O caso da empresa multada pela ANPD ilustra uma série de erros comuns e vulnerabilidades que muitas empresas enfrentam ao não se adequar às leis de proteção de dados como a LGPD. A falta de cumprimento das obrigações de fiscalização não é apenas uma indicação de descompromisso com a conformidade legal, mas também deixa a empresa exposta a sanções severas. É essencial cooperar plenamente com as autoridades de proteção de dados durante qualquer processo de fiscalização, não apenas para evitar multas, mas também para demonstrar boa fé e compromisso com a proteção de dados.

Além disso, a inadequação das hipóteses legais para o tratamento de dados é uma falha crítica. A LGPD estabelece condições específicas sob as quais dados pessoais podem ser coletados e processados. Ignorar ou não se enquadrar nessas condições pode ser visto como um ato deliberado de negligência, com potenciais implicações legais e éticas.

A falta de governança é outro grande problema. Uma governança de dados ineficaz não é apenas uma vulnerabilidade técnica; ela também indica uma falta de planejamento estratégico e de adequação real às normas. Isso torna a empresa vulnerável não apenas a ações por parte das autoridades, mas também a potenciais vazamentos de dados e outras violações de segurança que podem ter sérias ramificações.

Especificamente, as falhas em conceder os direitos dos titulares dos dados e as lacunas nos contratos são pontos críticos que muitas vezes são negligenciados. Os titulares dos dados têm direito a saber como seus dados estão sendo usados, a corrigir informações incorretas e a ter seus dados apagados em certas circunstâncias. Ignorar esses direitos é uma violação direta da LGPD e de outras leis de proteção de dados.

“Esta falta generalizada de conformidade não apenas coloca essas empresas em risco de multas pesadas e processos legais, mas também representa uma séria ameaça à privacidade e à segurança dos dados dos titulares.”

Portanto, o caso exemplifica uma série de erros comuns e vulnerabilidades que podem ter sérias consequências. Além das multas e outras sanções legais, o dano à reputação e a confiança do público podem ter um impacto duradouro na viabilidade da empresa. É crucial que as empresas levem a sério suas obrigações em relação à proteção de dados, não apenas para estar em conformidade com a lei, mas também para proteger a confiança e a segurança dos titulares de dados.

E Agora, O Que Fazer?

Se uma empresa já enfrentou multas relacionadas à LGPD ou deseja evitá-las, o caminho a seguir é bastante claro: a conformidade com a LGPD deve ser tratada como uma prioridade imediata. Nomear um Encarregado de Proteção de Dados (DPO) qualificado é um passo crucial. Este profissional será responsável por supervisionar a conformidade da empresa com as leis de proteção de dados e servirá como um ponto de contato entre a empresa e as autoridades de proteção de dados.

Além disso, todas as políticas internas relacionadas ao tratamento de dados pessoais devem ser revisadas e ajustadas para estar em total conformidade com a LGPD. Isso não se limita apenas a políticas escritas; é preciso implementar essas políticas na prática, através de treinamentos de funcionários, auditorias regulares e monitoramento contínuo para garantir que todas as operações estejam alinhadas com as regras de proteção de dados.

A efetiva governança de dados é outro elemento-chave. Isso envolve estabelecer processos claros para a coleta, armazenamento, uso e exclusão de dados pessoais. Esses processos devem ser documentados e comunicados claramente a todos os funcionários relevantes. Deve-se também implementar medidas de segurança robustas para proteger contra vazamentos de dados e outras violações de segurança.

Importante destacar que a conformidade com a LGPD não é uma ação pontual, mas um processo contínuo. A legislação e as melhores práticas em proteção de dados estão sempre evoluindo. Portanto, a empresa deve permanecer vigilante, atualizando suas políticas e práticas conforme necessário e mantendo-se informada sobre quaisquer alterações na legislação ou nas orientações das autoridades de proteção de dados.

Além dos aspectos legais, empresas que não cumprem as leis de proteção de dados arriscam danos substanciais à sua reputação. A perda de confiança dos clientes pode ter um impacto duradouro nos negócios e pode ser muito mais difícil de recuperar do que qualquer multa financeira. Portanto, além de ser uma exigência legal, a conformidade com a LGPD é também uma questão de responsabilidade empresarial e de construção da confiança pública.

Efeitos Retroativos e Implicações Futuras

O caso também demonstrou que a ANPD pode aplicar sanções retroativas, ressaltando a urgência em se adaptar às normas da LGPD. A imposição de multas não está restrita a grandes empresas; mesmo pequenas empresas que manejam grandes volumes de dados pessoais estão sujeitas a penalidades.

Pouquíssimas empresas estão implementadas

Intrigantemente, mesmo com a crescente conscientização sobre a importância da conformidade com a LGPD, um levantamento realizado pela DP&C, consultoria especializada no tema, revela um quadro preocupante: 82% das empresas no Brasil ainda não estão completamente adequadas à LGPD. Desse total, 41% afirmam estar parcialmente adequadas e 35% estão em fase inicial de adequação. Esta falta generalizada de conformidade não apenas coloca essas empresas em risco de multas pesadas e processos legais, mas também representa uma séria ameaça à privacidade e à segurança dos dados dos titulares. Além de comprometer a confiança do público, essa realidade cria um ambiente empresarial volátil, onde a falta de governança de dados pode levar a consequências negativas não apenas para as empresas, mas para a sociedade como um todo.

Conclusão

A primeira multa da ANPD serve como um aviso contundente de que a conformidade com a LGPD não é opcional. As empresas precisam agir rapidamente para evitar sanções, que podem ser substanciais e ter um impacto duradouro na reputação e operações comerciais. Este é o momento de investir em conformidade, entendimento e implementação eficaz da LGPD em todas as operações da empresa.