Em 06 de julho de 2023, a ANPD publicou no Diário Oficial da União o despacho decisório de sua primeira decisão que multou uma empresa brasileira por violação à LGPD. Diante da repercussão e importância do caso, apresentamos um breve resumo da decisão, acompanhado de algumas considerações.
Resumo da decisão
O auto de infração foi lavrado em 10/03/2022, sendo que as primeiras denúncias foram feitas ainda em 21/01/2021 à Ouvidoria da ANPD. Elas envolveram a situação em que estavam sendo vendidas listas de contatos de Whatsapp de eleitores de Ubatuba/SP. O caso pode configurar, em tese, crime eleitoral, havendo também uma investigação do Ministério Público. O despacho decisório descreveu a infração como: a oferta aos candidatos às eleições municipais de uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP para fins de disseminação de material de campanha eleitoral sem hipótese de tratamento (arts. 7º e 11 da LGPD); ausência de comprovação de registro das operações de tratamento de dados pessoais (art. 37 da LGPD); ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento(art. 38 da LGPD) e falta de comprovação da indicação de encarregado (art. 41 da LGPD). Além disso, não atenderam as requisições da ANPD (Resolução CD/ANPD no 1, de 28/10/2021). Sobre ausência de registros da atividade de tratamento, em face da autoridade não ter realizado o referido pedido, afastou-se a sanção por este suposto descumprimento. O mesmo se deu pela falta do relatório de impacto, eis que não solicitado pela ANPD.
Aplicou-se à empresa Telekall Infoservice uma multa simples, nos valores de R$7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD e de R$7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando (catorze mil e quatrocentos reais). Foi aplicado um atenuante pelo fato da infração ter cessado antes da lavratura do auto de infração. Se a empresa resolver renunciar ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada, desde que faça o recolhimento no prazo para o pagamento definido em 20 (vinte) dias úteis. Nessas circunstâncias, totaliza-se o montante de R$10.800,00 (dez mil e oitocentos reais).
Considerações críticas
A referida multa atinge um tipo de operação que é realizada com certa frequência por alguns agentes de tratamento. Não são raras as situações que empresas adquirem - ou se deparam - com listas de clientes em que a licitude de sua origem não pode ser adequadamente verificada. O cerne da decisão não foi nem as questões eleitorais, a questão parece ser mais simples: a decisão aborda (i)licitude de aquisição - e comercialização - de listas e o dever do agente de tratamento avaliar a regularidade de tais operações.
Em um dos ofícios encaminhados pela ANPD à empresa, uma das perguntas propostas foi “Qual a origem dos dados que essa empresa oferece para disparar mensagens de whatsapp, conforme consta abertamente do site dessa empresa? Ou seja, de onde essa empresa pega ou acessa os dados para disparar as mensagens? Fornecer detalhadamente os dados de identificação e de contato com seu fornecedor desses dados pessoais”, o que não foi respondido pela Telekall (ainda no procedimento preparatório, que antecede o processo sancionador). O site da empresa foi desativado no ano de 2022, sendo que sua defesa indicou, após o início do processo sancionador, que os serviços “ foram encerrados temporariamente com o propósito único de se adequar às regras principais da lei 13.709”.
Da lavratura do auto de infração até a aplicação da multa, passaram-se mais de 1 ano. Este é um primeiro ponto de preocupação, a demora na conclusão de todo o processo (que ainda é passível de recurso). No entanto, deve-se destacar que o processo foi sobrestado até a aprovação do Regulamento de Dosimetria e Aplicação de Sanções Administrativa, o que poderia justificar o prazo mais longo.
A ANPD escolheu bem o seu primeiro caso? Levando em consideração a profusão de situações de violações bastante graves no cenário brasileiro, talvez a ANPD tenha escolhido um caso de menor repercussão e impacto aos direitos dos titulares. Neste sentido, existem diversas outras situações muito mais graves que poderiam ter recebido a atenção da Autoridade, entre elas, a própria questão do uso de dados pessoais em farmácias. Ao mesmo tempo, pode-se argumentar que a escolha de um caso um pouco mais simples representaria um primeiro passo, a fim de testar e modular todas as nuances e dificuldades do processo sancionador.
Chamou a atenção também a singeleza de alguns argumentos da defesa. Quando perguntada sobre a hipótese do tratamento para os dados no contexto da investigação, mencionou: “A Nossa primeira impressão foi a de que, se os dados estão na web ou em redes sociais, eles seriam públicos e, portanto, poderiam ser utilizados (tratados) por qualquer pessoa”. Tal argumento pode ser compreendido como uma tentativa de encaixar a hipótese no art. 7º, §4º da LGPD: “É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei”. A ANPD destacou que se deve levar em consideração, contudo, o §3º do mesmo artigo: “O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”.
Viu-se uma demora entre as primeiras apurações e a aplicação da sanção, fato que deve se repetir enquanto a autoridade não aumentar seus quadros. Além disso, foi crucial para a aplicação da sanção a falta de colaboração do agente de tratamento, o que demonstra a necessidade de uma preparação e um acompanhamento das instituições - sobretudo por meio de seus encarregados - para atender aos pedidos feitos pela autoridade.
Por fim, ao contrário do que se tem dito na imprensa, acreditamos que não seja possível fazer um diagnóstico do panorama de aplicações de sanções pela ANPD somente diante de um caso. Não se sabe quais serão seus próximos passos acerca das sanções, mas sabe-se que há a lista recentemente divulgada pela autoridade com os processos de investigação em andamento. Portanto, não parece ser possível, neste momento, prever se a autoridade estará mais focada em processos envolvendo pequenas ou grandes empresas, tampouco a natureza das violações que ela deverá perseguir. Será necessário aguardar a fim de avaliar outras decisões a fim de que se possa encontrar uma tendência mais clara a ser seguida pela ANPD.
