violação de dados

No dia 06/07/2023, em decisão inédita no país, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou sua primeira sanção, direcionada a uma micro empresa de telemarketing, por descumprimento à Lei Geral de Proteção de Dados Pessoais (LGPD). A lei foi promulgada em 2018, entrando em vigor em 2020, trazendo sanções que poderiam ser aplicadas por seu descumprimento, porém ainda não havia regulamentação sobre a dosimetria das penas, que foi publicada em 28/02/2023.

O processo administrativo para apuração da conduta foi instaurado em março de 2022, com a intenção de apurar se a empresa teria realizado tratamento de dados pessoais sem fundamento em base legal, deixado de nomear um encarregado pelo tratamento de dados, além das acusações de ausência de registro de operações de tratamento, não envio de relatório de impacto, bem como o não atendimento a requisições realizadas pela Autoridade, condutas vedadas pela legislação.

Conforme informações publicadas no despacho, as sanções foram:

• Advertência, sem imposição de medidas corretivas, pela ausência de um encarregado (infração ao artigo 41 da LGPD); e
• Multa simples, no valor de R$7.200,00, pela ausência de base legal para o tratamento de dados pessoais (infração ao art. 7° da LGPD), e no valor de R$7.200,00, pelo não fornecimento de documentos e o suporte à atuação de fiscalização da autoridade (infração ao art. 5º do Regulamento de Fiscalização), totalizando R$14.400,00.

Percebe-se a relevância da decisão, pois nela a ANPD demonstra como será a sua atuação, deixando claro que não terá foco apenas nas grandes empresas, podendo a próxima sanção ser aplicada a agentes de tratamento de qualquer porte, mesmo se este for micro ou pequena empresa.

Apesar de ser considerada como uma micro empresa de telemarketing, ela não se enquadrou como agente de tratamento de pequeno porte. De acordo com a Coordenação-Geral de Fiscalização, a empresa não comprovou que não fazia tratamento de alto risco, que é uma das condições essencial para o enquadramento, e por esta razão, não fez jus aos benefícios trazidos para este tipo de empresa, como a possibilidade de não designação do encarregado, fazendo com que fosse aplicada sanção.

Mesmo considerando que o valor da penalidade imposta possa não parecer vultuoso, o impacto à reputação desta empresa é muito significativo, tendo em vista que toda pesquisa na internet sobre ela, trará informações sobre as infrações que cometeu, além disso, o valor demonstra que a Autoridade levará em conta critérios trazidos na lei e regulamento sobre a dosimetria das penas, fixando valores condizentes com o porte do infrator.

Muitas empresas têm postergado sua adequação aos ditames da LGPD, pois tinham a crença que a ANPD iria começar sua atuação em grandes empresas, nas que tivessem relevância nacional ou multinacionais, porém a sanção demonstra que todos os agentes de tratamento devem estar aderentes à lei, razão pela qual a contratação de assessoria jurídica para apurar o nível de adequação, auxiliar na conformidade e nas respostas aos titulares e à Autoridade é essencial para evitar sanções, bem como para demonstrar ao mercado a preocupação da empresa com privacidade e proteção de dados pessoais.

Desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor as empresas têm empreendido recursos e esforços para se adequar aos ditames legais através da produção de políticas, atualização de documentos, instauração de medidas de segurança, revisão de processos de tratamento de dados pessoais, entre outras medidas, que são de suma importância, porém, como apontado pela Verizon[i] em seu relatório de investigação de violação de dados ocorridas em 2022, 82% dos incidentes foram ocasionados pela interação humana.

O dado trazido pelo relatório demonstra a importância de as instituições possuírem políticas bem estruturadas e fomentarem internamente uma cultura de proteção de dados, para que todos os colaboradores e parceiros estejam cientes de suas responsabilidades e sobre a forma adequada de tratamento destes.

É essencial que sejam realizadas capacitações e treinamentos com todos que tratam dados pessoais nas empresas, para que conheçam as políticas internas, as obrigações da lei e entendam a forma correta de tratamento dos dados pessoais. Além disso, estas políticas têm de estar estruturadas de forma clara, pois boa parte dos incidentes são causados pelo tratamento inadequado de dados realizado por alguém da própria empresa.

A Justiça do Trabalho, até o momento, vem se posicionando no sentido de confirmar as demissões por justa causa de empregados que realizaram o tratamento inadequado de dados pessoais, tendo em vista que tais atos, independente da intenção, são considerados como falta grave, pois ao lidar com os dados pessoais, os colaboradores devem observar a lei e as políticas internas da empresa sobre Segurança da Informação e Proteção de Dados pessoais.

Portanto, o empregado que venha a descumprir normas internas de tratamento de dados pode incorrer em prática grave, passível, nos termos do Art. 482 da CLT, a sofrer a penalidade disciplinar mais severa a ser aplicada ao trabalhador, que é a de demissão por justa causa, pondo fim ao contrato de trabalho.

Além do descumprimento das políticas internas, caso o empregado vaze algum dado pessoal, mesmo que seja por meio do envio deste para seu e-mail pessoal sem intenção de transmissão para terceiros, isto pode ser considerado como uma violação de segredo da empresa, que também é um motivo de demissão por justa causa, tendo em vista a importância econômica e o risco de danos decorrentes da publicação dos dados.

A postura judicial que vem sendo adotada traz mais segurança jurídica para as empresas, porém tendo em vista o quão determinante é a ação humana no que concerne a incidentes de segurança, as instituições devem se preocupar em estimular internamente o respeito e a proteção dos dados pessoais, pois os atos destes colaboradores podem ensejar em multas aplicadas pela ANPD às instituições em até R$ 50 000 000 (cinquenta milhões de reais), além de sanções judiciais.

Tanto as multas aplicadas pela Autoridade quanto as sanções judiciais podem ser quitadas, porém, quando ocorre um incidente de segurança, um bem imaterial e valioso da empresa poderá ser prejudicado, qual seja, a sua reputação no mercado e perante os clientes. Mesmo após quitar os débitos decorrentes dos incidentes, a reputação da empresa poderá ser afetada de forma irreversível, ainda mais quando o negócio da empresa esteja intimamente atrelado a confiança que seus clientes e parceiros depositam nela.

Desta forma, para proteger a reputação da empresa e evitar vazamentos ou sanções, é essencial a contratação de uma assessoria jurídica especializada para realizar a adequação da empresa à LGPD, ministrar treinamentos, bem como orientar de forma contínua todo seu quadro de profissionais, a fim de garantir um programa de adequação eficiente e que minimize riscos relacionados à Proteção de Dados.

[i] https://www.verizon.com/business/resources/reports/dbir/