No começo do mês de julho, a Autoridade Nacional de Proteção de Dados (ANPD), por meio da sua Coordenação-Geral de Fiscalização, aplicou a primeira multa administrativa por infração à Lei Geral de Proteção de Dados Pessoais (LGPD).
A fiscalização foi iniciada a partir de denúncia de que a empresa Telekall Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP.
Em seu Relatório de Instrução nº 1/2023/CGF/ANPD, ao analisar as circunstâncias da infração e autoria, a ANPD afirmou que “as provas coligidas aos autos são suficientes para afirmar que a empresa Telekall ofertava listagem de contatos de WhatsApp para fins de disparo de mensagens”.
Na investigação, restou apurado que a atividade comercial da empresa consistia na disponibilização de plataforma digital de disparo de mensagens de voz, sms e whatsapp, anunciando um banco de dados de 130 milhões de pessoas, havendo fundada dúvidas acerca da legalidade dos meios utilizados na obtenção desse acervo de dados, bem como se o tratamento a eles conferido estaria de acordo com os ditames estipulados na Lei Geral de Proteção de Dados (Lei n. 13.709/2018).
Quais as infrações cometidas pela empresa?
A ANPD baseou-se nos seguintes dispositivos para imputar a prática de infrações à Telekall Infoservice:
Art. 7º da Lei Geral de Proteção de Dados – ausência de comprovação de hipótese legal de tratamento de dados pessoais.
O Art. 7º da LGPD determina que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses elencadas em seus dez incisos. No caso, não foram identificadas hipóteses de tratamento que pudessem respaldar a atividade comercial da Telekall nos moldes em que era desenvolvida.
Não houve fornecimento de consentimento pelos titulares; não se estava diante de cumprimento de obrigação legal ou regulatória; não se trata de ente integrante da Administração Pública ou que desenvolva estudos como órgão de pesquisa; não se tratava de dados necessários para a execução de contrato ou de procedimentos preliminares, a pedido do titular; não configurou exercício regular de direitos em processo judicial, administrativo ou arbitral; não se trata de proteção da vida ou da incolumidade física do titular ou de terceiro; não era o caso de tutela da saúde em procedimento realizado por profissionais, serviços de saúde ou autoridade sanitária; os dados tratados não eram necessários para a proteção ao crédito.
Quanto à base legal do legítimo interesse, para que essa hipótese pudesse ser invocada, careceria da adoção de cuidados adicionais, os quais requerem a leitura conjunta de outros artigos da LGPD além do 7º. Em suas alegações, a empresa considerou que os dados públicos poderiam ser usados em sua atividade comercial, o que contraria o art. 6º, I, da LGPD, que estabelece o conteúdo do princípio da finalidade, qual seja, a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Para a ANPD, não se identificou a observância de propósitos legítimos, específicos, explícitos e informados ao titular, constatando-se, ao contrário, a realização de tratamento posterior de forma incompatível com essas finalidades, uma vez que houve desenvolvimento de atividade comercial baseada no uso de dados disponíveis na internet sem respaldo legal.
Isto porque o art. 7º, § 3º, dispõe que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização, enquanto o §4º define que é dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na lei .
No caso, não houve evidência alguma de que os titulares tinham condições de saber que os seus dados estavam sendo tratados pela empresa, não havendo como supor que o tratamento era feito observando o comando de resguardar os direitos do titular e os princípios na LGPD.
Ou seja, como os titulares não têm conhecimento de que a Telekall tratava seus dados pessoais, impede-se o exercício de direitos previstos no art. 18 da LGPD, tais como a confirmação da existência de tratamento e a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei.
Art. 41 da LGPD – falta de comprovação da indicação do encarregado:
De acordo com o art. 5º, VIII, da LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)“.
Conforme o art. 41 da LGPD, o controlador deverá indicar encarregado pelo tratamento de dados pessoais. No caso concreto, a ANPD alegou que a confirmação da indicação de encarregado foi solicitada à empresa, porém o prazo decorreu sem resposta, somente vindo a fazê-lo por ocasião da apresentação da sua defesa, o que acabou caracterizando a infração ao art. 41.
Uma observação importante a se fazer é que, apesar de ser considerada como uma micro empresa de telemarketing, ela não se enquadrou como agente de tratamento de pequeno porte. De acordo com a Coordenação-Geral de Fiscalização, a empresa não comprovou que não fazia tratamento de alto risco, que é uma das condições essenciais para o enquadramento e, por esta razão, não fez jus aos benefícios trazidos para este tipo de empresa, como a possibilidade de não designação do encarregado, fazendo com que fosse aplicada a sanção.
Art. 5º do Regulamento de Fiscalização – não atendimento das requisições da ANPD.
A ANPD oficiou a empresa Telekall requisitando informações. Porém, em razão da ausência de resposta da empresa, a ANPD considerou que foi cometida infração ao art. 5º, I, do Regulamento de Fiscalização e, consequentemente, obstrução à atividade de fiscalização, conforme o §6º do art. 5º, uma vez que o agente regulado deixou de cumprir o dever de fornecer cópia de documentos, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD.
Ao final, para a infração ao art. 7º da LGPD e ao art. 5º do Regulamento de Fiscalização foram aplicadas sanções de multa simples. O descumprimento ao art. 41 da Lei resultou em sanção de advertência. O valor para cada infração ficou limitado a 2% do seu faturamento bruto, conforme art. 52, II, da LGPD, totalizando uma multa de R$14.400,00.
Contudo, conforme o art. 18 do Regulamento de Fiscalização, caso a empresa renuncie expressamente ao direito de recorrer da decisão, poderá ter um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada.
Se a decisão não for cumprida, o processo administrativo será encaminhado à Procuradoria Federal Especializada da ANPD para execução da multa, sob pena de inscrição na dívida ativa da União e no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin).
Percebe-se a relevância da decisão, pois nela a ANPD demonstra como será a sua atuação. Muitos empresários estão postergando sua adequação às regras da LGPD acreditando que a ANPD estaria focando sua atuação em grandes empresas. Só que a primeira sanção foi justamente para uma empresa de pequeno porte.
No Brasil existem 6,4 milhões de estabelecimentos. Desse total, 99% são micro e pequenas empresas (MPE). As MPEs respondem por 52% dos empregos com carteira assinada no setor privado (16,1 milhões). E todas precisam se adequar a LGPD, sem exceção. A atuação da ANPD é um alerta para as instituições de qualquer categoria, setor, tamanho e finalidade, que lidam diretamente com o tratamento de dados pessoais e sensíveis.
Outro ponto que todo empresário precisa ficar atento é quanto à credibilidade de sua empresa. A aplicação de sanções não deve ser o único motivo para que a instituição escolha tratar corretamente os dados dos titulares. Embora aparentemente o valor da penalidade imposta não pareça alto, o impacto à sua reputação é muito significativo, tendo em vista que toda pesquisa na internet trará informações sobre as infrações que a Telekall cometeu.
Boas práticas e um regime de governança de privacidade e proteção de dados devem ser prioritários para uma empresa, independente do seu tamanho e nicho. Estar em conformidade com a LGPD não só melhora a reputação, como faz com que consumidores, parceiros e colaboradores tenham uma boa relação com a empresa, visualizando-a como comprometida com a proteção efetiva de direitos fundamentais de titulares de dados.
O escritório Brissac & Fonteles Advocacia atua para apurar o nível de adequação, auxiliar na conformidade e nas respostas aos titulares e à ANPD. Nos contate através do e-mail contato@brissacefonteles.adv.br ou em uma de nossas redes sociais.
CARLOS BRISSAC NETO
Advogado, OAB/MA Nº 9.021
