A Lei Geral de proteção de Dados Pessoais — Lei n. 13.709/18 (LGPD) foi publicada em 2018 e entrou em vigor em 2020. Este prazo foi concedido às pessoas jurídicas de direito público e privado (agentes de tratamento) que coletam, armazenam ou tratam dados pessoais de pessoas físicas, no Brasil ou no exterior para se adequarem à nova regulamentação da matéria.

Inicialmente, as sanções e as multas administrativas foram aplicadas pelos órgãos de defesa do consumidor (PROCON), pelo Ministério Público, além da judicialização na esfera trabalhista e cível, até o início das atividades fiscalizatórias da Autoridade Nacional de Proteção de Dados (ANPD), em 2021.

A ANPD, a princípio, trabalhou para conscientizar e educar os agentes de tratamento da importância da aplicação de boas práticas no tratamento de dados pessoais, na busca da efetivação do direito fundamental à autodeterminação informativa (EC nº 115/22).

A efetivação do sistema de proteção de dados pessoais ocorreu com a aplicação das primeiras sanções administrativa, pela agência reguladora.

A primeira empresa autuada é provedora de serviços de telefonia, tais como telemarketing e autoatendimento via serviço de mensageria WhatsApp. Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, totalizando R$ 7.200,00 por infração.

A empresa foi multada pela falta de indicação do encarregado pelo tratamento de dados pessoais, conforme exigido pelo art. 41 da LGPD, e pela realização de tratamento de dados pessoais sem base legal: a empresa realizou o tratamento de dados pessoais de eleitores para a realização de campanha eleitoral, sem que houvesse consentimento expresso dos titulares dos dados, conforme exigido pelo art. 7º, II, da LGPD.

A Secretaria de Saúde do Estado de Santa Catarina (SES-SC), foi a segunda empresa pública a receber sanções da ANPD. Foram aplicadas quatro sanções de advertência por vazamento de dados pessoais.

A SES-SC infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao negligenciar a segurança dos sistemas de armazenamento e tratamento de dados pessoais, e pela falta de clareza, inadequação e intempestividade do comunicado aos titulares, que foi considerada uma infração ao art. 48 da LGPD. Além disso, o órgão não apresentou o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) requisitado pela Autoridade.

Cumpre observar que as sanções aplicadas às empresas são atribuídas à ausência de documentos e procedimentos adequados.

Assim, a adequação contratual e a criação de documentos padronizados, sem a implementação de práticas efetivas, não são suficientes para garantir o cumprimento da legislação, e evitar as sanções.

A aplicação das sanções pela ANPD é um instrumento importante para proteção de dados pessoais no Brasil. As empresas devem estar atentas ao cumprimento da legislação para evitar o risco de sofrer sanções administrativas.

Por: Juliana Bloise

Direito Cível | Equipe CPDMA