Desrespeito à Lei de Proteção de Dados gera primeira (e modesta) multa no Brasil

Três anos depois da Lei Geral de Proteção de Dados (LPGD) entrar em vigor, na semana passada, saiu a primeira multa sobre tratamento de informações pessoais. A Autoridade Nacional de Proteção de Dados (ANPD) decidiu que a empresa de telecomunicação Telekall Infoservice receberia duas penalidades, de R$ 7,2 mil cada, por usar dados de eleitores em uma campanha política municipal.

Na Europa, a primeira sanção desse tipo demorou muito menos, cerca de seis meses. Com base no Regulamento Geral de Proteção de Dados (GDPR), um hospital português foi multado em 400 mil euros (mais de R$ 2,1 milhão) por permitir que profissionais de saúde acessassem prontuários médicos sem autorização dos respectivos pacientes.

Em uma primeira análise, chama a atenção a diferença na aplicação das primeiras sanções no Brasil e na Europa, especialmente em relação ao tempo corrido e os valores da multa. Segundo especialistas, isso se explica no fato de que a legislação deu um ano e meio para que as empresas se adequassem ao texto, além de ter definido, em seu artigo 52, o limite da multa em até 2% do faturamento do CNPJ, sob o teto de R$ 50 milhões por infração. 

Mesmo considerando esses pontos, advogados ouvidos pelo InfoMoney avaliam que o mercado esperava que a primeira decisão da ANPD fosse um pouco mais dura. Isso porque o primeiro caso tem um aspecto educativo, mostrando que o órgão federal está observando a maneira como as companhias tratam os dados de seus usuários.

“A expectativa de quem trabalha na área de proteção de dados é que o alvo desta primeira multa fosse uma empresa da área de tecnologia ou uma grande companhia. Não sei se propositalmente, mas me parece que houve a intenção de seguir um caminho de alerta para que todos, inclusive os pequenos e médios negócios, estejam cientes de que também precisam fazer o processo de adequação à LGPD”, destaca Cristiane Manzueto, advogada especializada em privacidade de dados, sócia do escritório Tauil & Chequer. 

De acordo com a Autoridade, outros 16 processos de fiscalização estão em andamento, investigando marcas de diferentes setores e que carregam banco de dados ainda mais robustos. Embora a existência desses processos seja de natureza pública, o teor da investigação é mantido em sigilo, afirma o órgão.

Entre os citados nas investigações, há bigtechs, como o TikTok e WhatsApp, que somam milhões de usuários cadastrados; autarquias do setor público, como Instituto Nacional do Seguro Social (INSS) e Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), que têm informações bastante específicas da população; além de drogarias, como as do grupo RaiaDrogasil, que carregam dados sensíveis de pacientes.

Segundo a legislação, além da penalidade por multa, em casos mais graves, as empresas podem ter proibidas suas atividades relacionadas ao tratamento de dados pessoais. 

“Quando a empresa faz tratamento de dados de alto impacto [caso das redes sociais], passa a ter um risco maior e a estar vulnerável a penalidades mais altas. A ideia da LGPD, ao fazer a diferenciação entre multas simples e graves, foi analisar o tipo de tratamento”, explica Manzueto.

Discussão avança nos tribunais

A LGPD foi criada em um movimento global pela proteção das informações da população, como forma de garantir que as empresas só usassem o que fosse realmente consentido pelo titular. A versão brasileira impõe que a autorizada tem de garantir os mais altos níveis de segurança aos dados que foram cedidos, até porque, embora permitidos, os dados continuam sendo de propriedade dos usuários, nesse caso, os clientes e funcionários.

Por isso, embora exista  a figura da ANPD, que é um órgão federal com a responsabilidade de fiscalização, a justiça comum também analisa e julga ações relacionadas ao assunto. Os tribunais pelo país decidem, por exemplo, sobre o grau de responsabilidade que uma empresa que sofreu vazamento de dados tem no ocorrido.

O painel da LGPD nos Tribunais, atualizado trimestralmente, mostra que  no primeiro ano da legislação, as decisões judiciais que envolveram aspectos da guarda de informações somaram mais de 580 casos em todo o país. A maior parte dessas petições estavam relacionadas aos incidentes de segurança, mas há casos de inscrição indevida de pessoas físicas nos birôs de crédito, remoção de usuários das redes sociais pelos algoritmos e até pedidos de produção de provas digitais com base em geolocalização.

Conforme explica a advogada Thaissa Garcia, gerente de privacidade e proteção de dados do escritório Albuquerque Melo Advogados, a ANPD é responsável pela parte regulatória, tendo a responsabilidade de fiscalizar o cumprimento da legislação. Já a justiça é o meio pelo qual as pessoas podem pedir indenização, como danos morais e materiais, quando essas se sentem impactadas pela violação dos dados.

“No universo de processos, o número de casos julgado ainda não é proporcional, mas já vemos os tribunais decidindo e seguindo na linha de que é preciso provar um dano. O fato de ter um vazamento de dados, por exemplo, não justifica automaticamente o direito de indenização. O dano moral precisa ferir a personalidade e dignidade, algo mais profundo que um dessabor”.

A especialista avalia essa cautela como razoável, pois o fato de existir a lei não pode servir para que algumas pessoas a enxerguem como forma de obtenção de dinheiro. O tratamento de dados é um assunto complexo -que também envolve os funcionários- e, mesmo em países com legislações mais avançadas, o número de empresas em conformidade ainda não é total, diz.

“Culturalmente, não tínhamos a consciência sobre a gestão deste grande número de dados e foi preciso rever tudo isso, inclusive com a necessidade de cada empregado entender a forma como trabalha”. “Essa lei não tem retorno, é uma realidade mundial necessária. Todas as empresas vão precisar demonstrar que estão em conformidade com a LGPD, assim como estão com a lei anticorrupção”, finaliza.

O que dizem os citados

O InfoMoney entrou em contato com todas as empresas citadas nesta reportagem. Leia os posicionamentos a seguir: 

WhatsApp: o processo de fiscalização informado dá continuidade aos diálogos iniciados com a autoridade após o caso concluído em 2022, que teve 100% das recomendações da ANPD atendidas pela companhia. Nesse sentido, o WhatsApp segue cooperando, como de costume, de forma próxima e colaborativa com a Autoridade.

INSS: em relação ao processo de fiscalização da ANPD sobre fluxo de empréstimos consignados, o INSS esclarece que está respondendo à Agência na medida em que os questionamentos são formalizados, uma vez que o processo segue em andamento. As respostas já encaminhadas estão anexadas ao processo. 

RaiaDrogasil: a RaiaDrogasil reitera que exerce suas operações estritamente dentro da legislação vigente, em conformidade com todos os procedimentos e termos da ANPD/LGPD, a fim de garantir a privacidade dos nossos clientes e demais stakeholders. 

Inep: o órgão ligado ao Ministério da Educação, responsável por aplicar a prova do Enem, não respondeu ao pedido de comentário.

TikTok: A ByteDance, empresa controladora do TikTok e do CapCut, também não enviou posicionamento.