Por Leonardo Melo Lins*
Já foram bem debatidos os motivos que levaram à aplicação da primeira multa pela Autoridade Nacional de Proteção de Dados (ANPD) a uma microempresa de telemarketing do Espírito Santo. Basicamente, a ANPD aplicou uma advertência e duas multas: a primeira, “devido à não indicação de um encarregado de tratamento de dados pessoais” (DPO); uma “multa simples no valor de R$ 7.200 por inexistência de hipótese legal para tratamento de dados pessoais”; e, por fim, “multa simples no valor de R$7.2000 em razão de não atendimento a solicitações da ANPD durante o processo de investigação”[1].
No presente artigo, vou discutir aspectos da advertência dada à empresa e da segunda multa aplicada tendo como referência os dados sobre adequação das empresas à Lei Geral de Proteção de Dados (LGPD) lançados no ano passado pelo Cetic.br[2] Com indicadores desenvolvidos junto à especialistas da academia e do setor público, a pesquisa trouxe um amplo panorama sobre o estágio atual das práticas de proteção de dados pessoais nas empresas brasileiras.
O primeiro ponto é sobre o DPO[3]. Apesar de recentemente a ANPD ter dispensado a presença do encarregado em organizações de pequeno porte, há necessidade caso a empresa realize tratamento de dados pessoais de alto risco[4]. A advertência dada pela ANPD liga o alerta para outras empresas, e os dados disponíveis mostram que há ainda um caminho para se consolidar o papel do DPO entre as empresas brasileiras.
De acordo com a pesquisa, 17% das empresas brasileiras nomearam um encarregado de dados, sendo que é prática mais recorrente entre as grandes empresas (41%)[5]. No que diz respeito ao mercado de atuação, os setores de informação e comunicação e de atividades profissionais são os que mais apresentaram empresas que nomearam um encarregado de dados, seguido de perto do setor de transportes, mas em todos os casos atingindo uma proporção bem pequena de empresas.
Gráfico 1 – Empresas, por nomeação de um encarregado de dados
Total de empresas (%)
É importante mencionar que os dados acima não implicam que todas as empresas precisam nomear um encarregado de dados, ou que a baixa proporção de DPOs vai levar a advertências generalizadas, independente do porte e setor de atividade da empresa. No entanto, o dado acima evidencia que na maioria das empresas não há um profissional responsável por zelar e promover uma cultura de proteção de dados, o que pode evitar futuras advertências e multas.
Um efeito prático disso é justamente o motivo da segunda multa aplicada: a falta de um relatório de impacto à proteção de dados pessoais e dos procedimentos de tratamento, implicando a ausência de um fluxo sobre a entrada e descarte desses dados[6].
De acordo com a pesquisa do Cetic.br, a presença de procedimentos para tratamento correto dos dados pessoais é ainda bem incipiente, sobretudo em pequenas e médias empresas. Apenas 13% das empresas fizeram um relatório de impacto à proteção de dados pessoais, enquanto 24% elaboraram um plano de conformidade à LGPD. Do ponto de vista da transparência, o cenário é também incipiente, na medida em que 32% das empresas desenvolveram uma política de privacidade que informa como os dados pessoais são tratados. Como é possível ver no gráfico abaixo, apenas grandes empresas possuem práticas mais consolidadas para adequação à LGPD.
Gráfico 2 – Empresas por tipo de ação de adequação à LGPD
Total de empresas (%)
Em suma, aspectos básicos do tratamento de dados pessoais precisam ser disseminados, sobretudo nas pequenas e médias empresas. Há diversas práticas que podem levar a um uso incorreto dos dados pessoais de clientes e funcionários e que podem gerar outras multas e advertências.
Ainda que a lei seja recente e haja incertezas quanto à sua correta adequação, é necessário tornar as melhores práticas de proteção de dados pessoais uma constante na, pois garantir o bom uso dos dados é cada vez mais central para a reputação da organização, bem como para evitar punições que possam trazer danos reputacionais e financeiros irreversíveis[7].
___
*Pesquisador do Think Tank da ABES, membro do Programa de Pós-Doutorado do IEA/USP e Analista do Cetic.br | NIC.br
[1] Os detalhes da decisão podem ser consultados aqui.
[2]Mais informações sobre a pesquisa neste link.
[3] De acordo com a LGPD, as atribuições do encarregado de dados pessoais são: “I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”
[4]A Resolução CD/ANPD n. 2, de 27 de janeiro de 2022, em seu Artigo 11, dispensa as organizações de pequeno porte de nomear um encarregado de proteção de dados pessoais. No entanto, é importante salientar que a ANPD toma como conceito de porte o faturamento da organização. Mais detalhes aqui.
[5]A pesquisa classifica o porte das empresas em termos de número de pessoas ocupadas: até 49, pequena; entre 50 e 249, média; mais de 250, grande.
[6]O relatório de impacto à proteção de dados pessoais é definido no Artigo 5º da LGPD como: “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”
[7]Vale lembrar que diversos guias orientativos estão disponíveis no website da ANPD.