Desde a data da sua criação em 8 de julho de 2019, a Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade”) vem se desenvolvendo e criando autonomia em relação à sua atuação.

Nos primeiros anos, a ANPD se concentrou em estabelecer um relacionamento de cooperação com outras entidades governamentais e ações educativas, assim como em iniciar seu plano de atuação regulamentando o que é de sua competência. Por exemplo, publicou regulamentações e normativas para estabelecer as diretrizes de como seria a aplicação das sanções administrativas, dosimetria e gravidade das sanções que seriam aplicadas quando houvesse violação à Lei Geral de Proteção de Dados (“LGPD”) e/ou aos regulamentos emitidos pela própria Autoridade.

Assim, ganhando força em sua autonomia e independência, em 6 de julho de 2023 foi publicado no Diário Oficial da União a primeira sanção aplicada pela ANPD em processo administrativo sancionador em face da empresa Telekall Infoservice (“Telekall” ou “empresa”).

 

Quais foram os fatos que levaram à aplicação de sanção?

As investigações contra a microempresa Telekall iniciaram-se em razão de suposta oferta de listagem de contatos de WhatsApp para fins de disparo de mensagens de cunho eleitoral para eleitores de Ubatuba/SP. O documento de investigação (Auto de Infração nº3/2022/CGF/ANPD) indica que a empresa Telekall ofertava em seu website listagem de WhatsApp para disparo de mensagens contendo uma base de dados de 130 (centro e trinta) milhões de pessoas.

Durante a investigação, a Telekall recebeu os seguintes questionamentos pela Coordenação-Geral de Fiscalização[1] (“CGF/ANPD”), setor que estava conduzindo a investigação: (i) indicar o Encarregado da empresa e seus contatos; (ii) indicar a origem dos dados que a empresa oferece para disparar mensagens de WhatsApp; caso seja de um fornecedor específico, identifica-lo e fornecer os contatos; (iii) indicar de que forma é montada a base de dados que serve de objeto para o serviço oferecido pela Telekall; (iv) indicar quais dados que fazem parte do banco de dados disponibilizado para seus clientes; e (v) indicar quantos registros a empresa possui atualmente em seu banco de dados.

A Telekall apresentou defesa, mas não respondeu aos questionamentos da CGF/ ANPD. Sendo assim, a Autoridade enviou novo ofício dando outra oportunidade para a empresa prestar os esclarecimentos solicitados e indicar quaisquer outras informações que fossem pertinentes para esclarecer os fatos investigados no processo administrativo. Mais uma vez, a Telekall não forneceu as informações solicitadas pela Autoridade, nesse sentido, foi instaurado o Processo Administrativo Sancionador 00261.000489/2022-62.

Ao se manifestar no Processo Administrativo, a Telekall apresentou defesa informando quem seria o Encarregado e afirmando que coletou na internet os dados que compõem as listagens de WhatsApp oferecidas, e por esse motivo, não precisaria indicar uma base legal para tal tratamento, tendo em vista que os dados coletados na internet estão sob o alcance de qualquer pessoa. Além disso, por ter coletado os dados por meio de vários sites da internet, esse fato não impediria a comercialização desses dados com serviço a ser prestado pela empresa.

 

Afinal, quais artigos da LGPD e regulamento da ANPD que foram violados?

Apesar da manifestação e defesa da Telekall, a Autoridade entende que houve uma série de violações à LGPD e ao regulamento da ANPD. Isto é, com base na investigação e no contexto das provas trazidas aos autos no Processo Administrativo Sancionador, a CGF/ANPD entende que a empresa violou:

  • O artigo 7º da LGPD, pois sua atividade comercial não está regularmente amparada por nenhuma das hipóteses de tratamento previstas no art. 7º da LGPD.
  • O artigo 41 da LGPD, uma vez que a empresa não havia indicado o Encarregado antes da investigação pelo Auto de Infração, vindo a fazê-lo apenas na apresentação de defesa em face do Processo Administrativo Sancionador.
  • O artigo 5º do Regulamento de Fiscalização da ANPD, por não ter respondido os questionamentos do órgão de fiscalização (CGF/ANPD) em momento anterior à abertura do Processo Administrativo Sancionador.

 

Quais foram as sanções e dosimetrias aplicadas?
  • Quanto à violação ao artigo 7º da LGPD, entendeu-se que se trata de infração leve e a aplicação de multa simples, nos termos do artigo 10, III do Regulamento de Dosimetria, se mostra mais adequada e proporcional.
  1. Agravantes: Ausência
  2. Atenuantes: Presença, uma vez que houve a cessação da infração em momento anterior à lavratura do auto de infração
  3. Análise do contexto em que a violação ocorreu com base na vantagem pretendida pelo infrator pela prestação de serviços do produto ofertado (listagem de WhastApp para fins de disparo de mensagem de cunho eleitoral), a infração ocorreu pouco antes do pleito eleitoral e que o valor da multa deve ficar a 2% do faturamento.
  4. Sugeriu-se a aplicação de multa de: R$ 7.200,00 (sete mil e duzentos reais)
  • Quanto a violação ao artigo 41 da LGPD, entendeu-se que a infração foi leve, portanto, nos termos do artigo 9 do Regulamento de Dosimetria, sugeriu-se a aplicação de Advertência.
  • Quanto a ofensa ao artigo 5º do Regulamento de Fiscalização, entendeu-se que a infração foi grave e nos termos do artigo 10, II, do Regulamento de Dosimetria deve ser aplicado multa simples.
  1. Agravantes: Ausência
  2. Atenuantes: Ausência
  3. Análise do contexto em que a violação ocorreu, uma vez que deixou de cumprir o dever de fornecer cópia de documentos, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD e que o valor da multa deve ficar a 2% do faturamento.
  4. Sugeriu-se a aplicação de multa de: R$ 7.200,00 (sete mil e duzentos reais).

No total, sugeriu-se a aplicação de multa de R$ 14.400,00 (catorze mil e quatrocentos reais) de multa simples e advertência para a empresa Telekall Infoservice no Processo Administrativo Sancionador nº 00261.000489/2022-62.

 

Quais são as implicações da aplicação da primeira sanção pela ANPD?

Com a aplicação da primeira sanção pela ANPD, temos que, a partir de agora, empresas que não acreditavam no poder fiscalizatório da Autoridade, devem se preparar para uma atuação mais intensa do órgão. Isso indica que, empresas que não se adequaram ainda à LGPD devem procurar fazer isso o mais rápido possível, uma vez que a Autoridade já ganhou força e autonomia o suficiente para começar a investigar e aplicar sanções com mais intensidade.

Além disso, é importante lembrar que microempresas, apesar de receberem um tratamento especial em relação à adequação à LGPD, conforme a Resolução CD/ANPD nº 2, por meio de dispensa ou flexibilização de obrigações dispostas na LGPD, isso não quer dizer que estão impunes à aplicação de sanções pela Autoridade, assim como aconteceu com o caso da Telekall Infoservice. Vale dizer, a LGPD se aplica a todos, inclusive microempresas, órgãos públicos, entidades sem fins lucrativos, entre outros, ainda que flexibilizando algumas obrigações a algumas categoriais de empresas.

Por isso, estar em conformidade com a LGPD é primordial para evitar qualquer aplicação de sanção indesejada ou até sua judicialização.

A equipe do Campos Thomaz & Meirelles é bem preparada com profissionais competentes e está disponível para tirar quaisquer dúvidas em relação a sanções pela aplicação da LGPD, além de fornecer serviços de adequação à LGPD, inclusive para pequenas empresas, e prestar assessoria jurídica com relação a privacidade e proteção de dados.

*

compartilhe

LinkedInFacebookTwitterWhatsApp

newsletter

Inscreva-se em nossa newsletter e receba em primeira mão todos os nossos informativos

    Ao informar meus dados, concordo com a Política de Privacidade.