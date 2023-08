Gabriel Barroso Fortes. Foto: Divulgação

No começo de julho de 2023, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela Lei Geral de Proteção de Dados (LGPD) no Brasil, aplicou a sua primeira penalidade contra uma empresa de telecomunicação.

Só para lembrar, a ANPD é uma entidade relativamente recente na burocracia brasileira, criada em 2020, e ainda não havia prolatado decisões disciplinares pelo descumprimento da LGPD. Sua agenda regulatória previa que as fiscalizações começariam em 2023. E, de fato, foi o que aconteceu.

A citada empresa fora denunciada por ter ofertado, como proposta comercial, uma lista contendo o número telefônico de vários eleitores de determinada cidade, com a finalidade de viabilizar o envio de propaganda eleitoral, por partidos e candidatos, através do WhatsApp, visando às eleições municipais de 2020.

Após a apuração da Coordenação-Geral de Fiscalização da ANPD (CGF/ANPD), foi constatado que a organização descumpria, pelo menos, quatro regras claras da legislação.

A primeira infração era relativa à ausência de base legal para o referido tratamento. Dito de outra forma, não foi identificada, nem pela fiscalização nem pela fiscalizada, qual seria a hipótese da LGPD (art. 7º) que respaldaria a "venda" dos dados pessoais dos eleitores (número de telefone) pela empresa.

Só relembrando que, como já foi dito em várias oportunidades, a LGPD não proíbe o tratamento de informações pessoais, mas, sim, delimita as situações em que as empresas podem coletar, armazenar ou compartilhar esses dados. Consequentemente, todo negócio que lida com dados de pessoas precisa fazer o devido enquadramento dos seus processos às chamadas "bases legais de tratamento".

Ocorre que essa não é - nem de longe! - a única preocupação que uma organização precisa ter em relação à LGPD. Pelo contrário, o enquadramento das bases legais é talvez o trabalho mais simples a ser feito (o que não quer dizer que é fácil). As outras obrigações previstas na lei precisam de urgente atenção por parte dos empresários.

Além de outras infrações cometidas pela empresa, como a ausência de registro das suas operações de tratamento de dados pessoais, e da falta do seu relatório de impacto à proteção de dados, uma das obrigações também descumprida consiste no dever - que parece simples, mas infelizmente pouco efetivado por aí - de nomear e divulgar publicamente quem é o seu Encarregado de Dados Pessoais (art. 41).

Enfim, diante desse quadro, a citada empresa recebeu as penalidades de advertência formal e de multa administrativa no valor de 2% do seu faturamento bruto.

Um detalhe curioso sobre o caso é que a organização fiscalizada é uma microempresa, o que logo desfez aquele mito corrente nos imprecisos foros da internet segundo o qual apenas grandes empresas e plataformas digitais seriam alcançadas pela ANPD ou mesmo pela LGPD.

A onda está chegando e o mar engole tudo. É preciso estar preparado.

*Gabriel Barroso Fortes, advogado. Pós-Graduado em Direito Digital e Compliance (IBMEC/Damásio). MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. Head da área de Segurança de Dados do escritório Fortes Nasar Advogados. CPC-PD ©