32
Ínicio
>
Artigos
>
Direito Digital
ARTIGOS
DIREITO DIGITAL
A primeira sanção aplicada pela ANPD
Ana Frazão
21/08/2023
m 6 de junho de 2023, a Coordenação-Geral de Fiscalização (CGF) da Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira sanção administrativa por violações à Lei Geral de Proteção de Dados Pessoais (LGPD)[1].
Evidentemente, a decisão da ANPD atraiu os olhares da comunidade jurídica, cujos esforços de construção doutrinária e legislativa foram fundamentais para o próprio advento do diploma brasileiro de proteção de dados pessoais. Até por essa razão, há relevante simbolismo na decisão, pois é legítimo supor que seus fundamentos servirão de parâmetro para as condutas dos agentes econômicos.
Chama a atenção, porém, a circunstância de que, em meio a uma sociedade marcada por intensos processos de tratamento de dados por gigantescos agentes econômicos, a ANPD tenha proferido decisão singela, com aplicação de sanções bastante tímidas sobre agente econômico de limitada relevância – a Telekall Infoservice, empresa atuante no ramo de telecomunicações. Isso porque, para além da penalidade de advertência, aplicou-se multa de R$7.200,00 pela violação ao art. 5º do Regulamento de Fiscalização da ANPD, e de outros R$7.200,00 pela violação ao art. 7º da LGPD, totalizando R$ 14.400,00.
Não obstante, ao examinar a íntegra do caso[2], observa-se que a ANPD tratou de importantes temas relacionados ao tratamento de dados no âmbito da LGPD, razão pela qual optamos por destacar os que nos pareceram mais relevantes.
A escolha do primeiro agente sancionado: quem está na berlinda?
O simbolismo da primeira decisão condenatória da ANPD não está limitado ao seu pioneirismo, mas também à circunstância de a sanção ter sido aplicada a uma microempresa privada. A escolha chama a atenção diante do fato de que, em março de 2023, a ANPD divulgou lista atualizada dos processos administrativos sancionatórios instaurados pela CGF e, entre os agentes autuados, apenas um era empresa privada: justamente a Telekall Infoservice.
Nesse sentido, é significativo que a ANPD tenha elegido justamente o único agente privado da lista anteriormente divulgada, escolha que certamente pode ser interpretada como um alerta aos agentes privados quanto ao direcionamento do esforço fiscalizatório da autoridade.
A corroborar essa impressão, nota-se que a lista atualizada de processos de fiscalização em andamento, divulgada pela ANPD em maio de 2023, é composta majoritariamente por empresas privadas, em contraste com a já mencionada lista de março de 2023.
Considerando que se trata da primeira decisão da ANPD, especialmente em cenário no qual já se sabia que havia apenas um agente privado investigado pela autoridade na primeira lista, a análise das sinalizações expedidas pela autoridade é relevante.
É preciso também apreciar o outro lado da moeda da escolha da ANPD: qual seria o sinal que a autoridade estaria encaminhando aos entes públicos, gestores de bases de dados relevantíssimos para as vidas dos brasileiros, e que, não obstante, têm sido os permanentes protagonistas dos grandes escândalos de vazamento de dados vivenciados no país?
Como pudemos notar em nosso Curso de Proteção de Dados Pessoais[3], embora a análise quanto à incidência da LGPD sobre entidades do setor público seja repleta de peculiaridades, nenhuma delas pode servir de pretexto para justificar seja a leniência da autoridade com a sua adaptação ao direito vigente, seja a espera por uma regulamentação específica da proteção à privacidade dos usuários de serviços públicos.
Assim, não se pode também descurar da sinalização encaminhada ao setor público, até porque, diante da lista de agentes investigados anteriormente divulgada pela ANPD, povoada de entes públicos, se poderia inclusive interpretar a condenação de agente privado como o anticlímax do cenário desenhado pela própria autoridade.
A importância da cooperação com a ANPD: um alerta para a necessidade de deveres e obrigações mais claros?
Uma das multas aplicadas pela ANPD teve como fundamento a violação ao art. 5º do Regulamento de Fiscalização, sob o fundamento de obstrução à atividade de fiscalização da ANPD na conduta do agente penalizado. A violação ocorreu porque a Telekall Infoservice, apesar de intimada pela ANPD para apresentar esclarecimentos sobre a conduta investigada, ou não respondeu aos ofícios ou prestou informações insuficientes.
Ao aplicar multa por obstrução à sua atividade de fiscalização, a ANPD reforça a importância de que os agentes forneçam, sempre que aplicável, os documentos, dados e informações de natureza técnica, operacional e outras relevantes para a análise da ANPD, em observância ao princípio da prestação de contas, previsto no art. 6º, X da LGPD. Tanto é assim que a cooperação é inclusive uma circunstância atenuante apta a reduzir em 5% o valor da multa[4].
Tal aspecto é ainda mais significativo pois, no caso em referência, trata-se de microempresa que possivelmente não contava com os mecanismos institucionais normalmente presentes na estrutura dos agentes econômicos de maior envergadura financeira. Não é sem motivo que a própria ANPD conta com regulamento de aplicação da LGPD a agentes de tratamento de pequeno porte[5].
Assim, causa estranhamento que se tenha atribuído ao descumprimento de determinações processuais multa de mesmo valor do que aquela que se aplicou pela violação à LGPD propriamente dita. Afinal, a atividade da ANPD na aplicação de penalidades está sujeita aos princípios próprios do Direito Administrativo Sancionador, dentre as quais a garantia de que o acusado não tem a obrigação de produzir elementos autoincriminatórios.
A vedação do uso irrestrito de dados pessoais disponíveis publicamente
De acordo com a defesa da Telekall Infoservice, sua “primeira impressão foi a de que, se os dados estão na web ou em redes sociais, eles seriam públicos e, portanto, poderiam ser utilizados (tratados) por qualquer pessoa”. Tal compreensão não é nada incomum e certamente não assusta a muitos.
No entanto, como já nos posicionamos em nosso Curso[6], não nos parece razoável e nem mesmo lícito permitir que o tratamento de dados pessoais disponíveis publicamente seja realizado para quaisquer fins tão somente porque estão amplamente acessíveis. Pelo contrário, exige-se a observância de critérios específicos previstos nos §§ 3º, 4º e 7º do art. 7º da LGPD.
Esse foi a abordagem adotada pela ANPD, que analisou o tratamento de dados realizado pela Telekall Infoservice à luz de tais dispositivos e constatou a realização de tratamento posterior de dados pessoais disponíveis na internet de maneira incompatível com os propósitos que justificaram sua disponibilização e sem respaldo legal. Também não se identificou qualquer evidência de que os titulares tinham condições de saber que as suas informações estavam sendo tratadas pela Telekall Infoservice naquele contexto.
Foi nesse contexto que a ANPD concluiu pelo não atendimento dos requisitos previstos no art. 7º, § 3º da LGPD, isto é, a boa-fé, a finalidade e o interesse público que justificaram a disponibilização pública dos dados utilizados na atividade comercial da Telekall Infoservice. Isso porque não foram informadas as bases de dados públicas utilizadas na construção do banco de dados utilizado pela Telekall Infoservice, o que inviabilizou a confirmação da sua legitimidade e consequentemente a comprovação da observância aos propósitos legítimos e específicos e preservação dos direitos dos titulares, como exigido nos §§ 4º e 7º do art. 7º da LGPD.
Portanto, este caso foi relevante para analisar, de forma concreta, um tema ainda pouco explorado, mas presente na maioria dos modelos de negócio atualmente, além de confirmar entendimento que parece ser óbvio, mas para muitos não é: o uso de informações disponíveis publicamente na internet não pode ser realizado por qualquer pessoa de qualquer forma para qualquer finalidade.
O ônus de comprovar o “não enquadramento na exceção” do tratamento de alto risco
Segundo notícia publicada no site da ANPD[7], embora seja uma microempresa, a Telekall Infoservice não comprovou que não fazia tratamento de alto risco, o que seria uma condição necessária para excepcionalizar a exigência de designação do encarregado, motivo pelo qual foi aplicada a sanção de advertência neste ponto.
Ocorre que o Regulamento nº 2 da ANPD, destinado aos agentes de pequeno porte, não atribui ao agente o ônus de comprovar proativamente o seu “não enquadramento na exceção” do tratamento de alto risco prevista no art. 4º. O mencionado art. 5º, na realidade, indica que o agente deverá comprovar que se enquadra na condição de agente de pequeno porte “quando solicitado pela ANPD”, o que parece suscitar a necessidade de prévia solicitação da ANPD.
Esse não foi, contudo, o entendimento adotado pela ANPD no caso, que deixou de aplicar a dispensa de indicação do encarregado (exigido no art. 41 da LGPD) à Telekall Infoservice sob o argumento de que ela deixou de comprovar que não realiza tratamento de alto risco, isto é, que não se enquadrava na exceção do art. 4º do Regulamento.
Mais uma vez, é importante salientar que a atuação da ANPD nesse caso se dá sob a égide das garantias do Direito Administrativo Sancionador, dentre as quais a presunção de inocência. Dessa maneira, causa estranhamento tanto a atribuição de ônus ao acusado com contornos pouco claros, quanto a circunstância de ter a autoridade aparentemente ignorado a norma que ela própria elaborou com a finalidade de reconhecer a desigualdade existente entre agentes sujeitos à sua jurisdição.
Breves conclusões
Após a exposição dos pontos que nos pareceram importantes, fica claro que a decisão da ANPD merece a devida atenção, não só por tudo que ela afirma expressamente, como também pelo seu simbolismo.
Apesar da impossibilidade de se chegar a conclusões peremptórias a respeito da mencionada decisão, procuramos demonstrar que ainda há um longo caminho a percorrer para que possamos ter um regime sancionatório eficaz, mas que também seja estruturado em regras materiais e procedimentais claras e no respeito aos direitos fundamentais dos acusados.
Sobre os autores
ANA FRAZÃO – Sócia de Ana Frazão Advogados. Professora de Direito Civil e Comercial da UnB. Ex-conselheira do Cade.
ANGELO PRATA DE CARVALHO – Advogado. Mestre e doutorando em Direito Comercial pela Universidade de Brasília
GIOVANNA MILANEZ – Advogada. Pós-graduada em Direito da Proteção de Dados pela Universidade de Lisboa. Graduada pela Universidade de Brasília (UnB). Graduanda em Tecnologia da Informação no Centro Universitário de Brasília (UniCEUB)
CLIQUE E CONHEÇA O LIVRO DE ANA FRAZÃO!
LEIA TAMBÉM
- O que são ‘dark patterns’?
- Aumento do salário mínimo traz efeitos econômicos positivos?
- Mais um passo em direção à regulação da inteligência artificial
NOTAS
[1]https://www.in.gov.br/en/web/dou/-/despacho-494550988
[2]https://www.gov.br/anpd/pt-br/composicao-1/coordenacao-geral-de-fiscalizacao/CGF20231AutodeInfraoTelekall.pdf
[3] FRAZÃO, Ana; PRATA DE CARVALHO, Angelo; MILANEZ, Giovanna. Curso de Proteção de Dados Pessoais: Fundamentos da LGPD. 1ª ed. Rio de Janeiro: Forense, 2022. Ver capítulo IX.
[4] Não obstante, não se pode ignorar que se aplicou o mesmo valor de multa para a violação ao art. 5º do Regulamento de Fiscalização do que aquele que se aplicou pela violação ao art. 7º da LGPD. Para cada violação foi multa de R$7.200,00, totalizando R$ 14.400,00.
[5]https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
[6] FRAZÃO, Ana; PRATA DE CARVALHO, Angelo; MILANEZ, Giovanna. Curso de Proteção de Dados Pessoais: Fundamentos da LGPD. 1ª ed. Rio de Janeiro: Forense, 2022. Ver capítulo VIII.
[7]https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd