proteção de dados

No dia 06/07/2023, em decisão inédita no país, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou sua primeira sanção, direcionada a uma micro empresa de telemarketing, por descumprimento à Lei Geral de Proteção de Dados Pessoais (LGPD). A lei foi promulgada em 2018, entrando em vigor em 2020, trazendo sanções que poderiam ser aplicadas por seu descumprimento, porém ainda não havia regulamentação sobre a dosimetria das penas, que foi publicada em 28/02/2023.

O processo administrativo para apuração da conduta foi instaurado em março de 2022, com a intenção de apurar se a empresa teria realizado tratamento de dados pessoais sem fundamento em base legal, deixado de nomear um encarregado pelo tratamento de dados, além das acusações de ausência de registro de operações de tratamento, não envio de relatório de impacto, bem como o não atendimento a requisições realizadas pela Autoridade, condutas vedadas pela legislação.

Conforme informações publicadas no despacho, as sanções foram:

• Advertência, sem imposição de medidas corretivas, pela ausência de um encarregado (infração ao artigo 41 da LGPD); e
• Multa simples, no valor de R$7.200,00, pela ausência de base legal para o tratamento de dados pessoais (infração ao art. 7° da LGPD), e no valor de R$7.200,00, pelo não fornecimento de documentos e o suporte à atuação de fiscalização da autoridade (infração ao art. 5º do Regulamento de Fiscalização), totalizando R$14.400,00.

Percebe-se a relevância da decisão, pois nela a ANPD demonstra como será a sua atuação, deixando claro que não terá foco apenas nas grandes empresas, podendo a próxima sanção ser aplicada a agentes de tratamento de qualquer porte, mesmo se este for micro ou pequena empresa.

Apesar de ser considerada como uma micro empresa de telemarketing, ela não se enquadrou como agente de tratamento de pequeno porte. De acordo com a Coordenação-Geral de Fiscalização, a empresa não comprovou que não fazia tratamento de alto risco, que é uma das condições essencial para o enquadramento, e por esta razão, não fez jus aos benefícios trazidos para este tipo de empresa, como a possibilidade de não designação do encarregado, fazendo com que fosse aplicada sanção.

Mesmo considerando que o valor da penalidade imposta possa não parecer vultuoso, o impacto à reputação desta empresa é muito significativo, tendo em vista que toda pesquisa na internet sobre ela, trará informações sobre as infrações que cometeu, além disso, o valor demonstra que a Autoridade levará em conta critérios trazidos na lei e regulamento sobre a dosimetria das penas, fixando valores condizentes com o porte do infrator.

Muitas empresas têm postergado sua adequação aos ditames da LGPD, pois tinham a crença que a ANPD iria começar sua atuação em grandes empresas, nas que tivessem relevância nacional ou multinacionais, porém a sanção demonstra que todos os agentes de tratamento devem estar aderentes à lei, razão pela qual a contratação de assessoria jurídica para apurar o nível de adequação, auxiliar na conformidade e nas respostas aos titulares e à Autoridade é essencial para evitar sanções, bem como para demonstrar ao mercado a preocupação da empresa com privacidade e proteção de dados pessoais.

O Tribunal Superior do Trabalho (TST) recentemente aplicou o disposto na Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018 (“LGPD”) para determinar que uma empresa gerenciadora de riscos não poderia expor situação creditícia de motoristas de carga a outras empresas para fins diversos da proteção de crédito.

A empresa condenada pelo TST levantava diversas informações sobre a vida pessoal dos motoristas, como qualificação pessoal e profissional, bem como informações desabonadoras relativas a restrições de crédito nos sistemas do SPC e Serasa, para posteriormente enviar a transportadoras e seguradoras. Com base nessas informações, essas empresas deixavam de contratar os motoristas ou os impediam de transportar cargas para determinadas regiões em razão de suas restrições de crédito.

Primeiramente, insta salientar que a proteção de dados pessoais trazida pela LGPD não visa apenas prevenir incidentes de vazamento de dados, ou inibir usos indevidos para fins de marketing. Afinal, ela vai muito além disso e visa também o respeito aos direitos e liberdades individuais da pessoa e a proteção de seus dados, garantindo que seu uso seja realizado com isonomia, não discriminação e em conformidade com a finalidade específica para que foram coletados.

Nessa linha, os bancos de dados do SPC e Serasa carregam diversos dados pessoais, mas a finalidade específica que justifica sua coleta é a proteção ao crédito. Assim, eventual uso para finalidade diversa pode ser considerado como ilegal, nos termos da LGPD.

No caso decidido pelo TST, os julgadores entenderam que, ao utilizar os dados pessoais extraídos de serviços de proteção ao crédito para decidir acerca da contratação de um motorista ou na distribuição de serviços, as empresas estariam violando a boa-fé e princípios expressamente previstos na LGPD, como os da finalidade, da necessidade e da não discriminação.

Assim, decidiu o tribunal que a atitude seria discriminatória, segregando pessoas devedoras ao considerá-las como não aptas ao exercício profissional, levando a entender ainda que os motoristas estariam mais propensos ao roubo das cargas por serem devedores.

Portanto, ao realizar o tratamento de dados pessoais, as empresas devem estar atentas sobre a finalidade que justificou a coleta daqueles dados, posto que eventual uso para fim diverso pode resultar em conduta ilícita, em violação aos princípios da LGPD, com a possibilidade dos agentes envolvidos serem responsabilizados pelos prejuízos que causarem.