Foi publicada no Diário Oficial da União (DOU) desta quinta-feira, 6 de julho, a primeira sanção aplicada pela Autoridade Nacional de Proteção de Dados (ANPD), por indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD), a uma empresa privada. A multa total foi fixada em R$ 14,4 mil, sendo que R$ 7,2 mil foram cobrados pelo descumprimento de deveres relativos à fiscalização do órgão – ou seja, porque a empresa não apresentou os documentos solicitados de forma adequada durante o procedimento – e os outros R$ 7,2 mil foram estabelecidos em razão da falta de indicação de um encarregado pelo tratamento de dados pessoais. Para o advogado especialista em Direito Digital e Proteção de Dados Rafael Maciel, a primeira sanção da ANPD chama a atenção por ter sido aplicada a uma microempresa e não a uma grande organização, conforme se especulava.
“Por ser microempresa, muitos pensaram que estaria fora da fiscalização da ANPD. Contudo, nesse caso, o órgão mostra que irá fiscalizar a todos. Obviamente que, conforme divulgado no DOU, a empresa não exerce uma atividade de pouco impacto, é um serviço de telemarketing, talvez seja isso que tenha motivado a inspeção mais rigorosa”, avalia. Nesse sentido, o advogado destaca que, embora a Resolução nº 2 do Conselho Diretor da ANPD determine que microempresas estão fora do escopo de obrigatoriedade do encarregado de proteção de dados, o mesmo texto ressalva que o enquadramento dependerá do volume de dados tratados. “Então, quando há um número significativo de titulares, com maior duração de tratamento, frequência ou mesmo extensão geográfica, a microempresa perde esse benefício da não obrigatoriedade”, esclarece.
Com relação à multa aplicada devido à não apresentação da documentação adequada, Rafael Maciel analisa que o caso é emblemático. “Há extrema necessidade de que todos estejam preparados para a se adequar à LGPD. Então, mesmo uma empresa que seja pequena, mas que tenha um tratamento de dados significativo, é importante que esteja se alinhando para atender ao que é solicitado pela Lei”, observa. Ele alerta ainda que mesmo que a organização não trabalhe com um alto volume de dados, mas exerça uma atividade que trate de informações sensíveis, como pequenas clínicas e demais estabelecimentos de saúde, há a necessidade de que seus dirigentes se apressem com a regulamentação para estarem munidos para uma eventual fiscalização. “Não apenas para evitar multas, mas também para ser exemplo de boas práticas de proteção de dados”, finaliza.