ANPD aplica primeira multa por infrações à LGPD
A ANPD aplicou, recentemente, a primeira multa por infrações à LGPD. A empresa que sofreu as sanções administrativas atua no segmento de VoIP e telemarketing, é de pequeno porte e chama-se Telekall Infoservice.
Este passo é um marco muito importante para a área de Privacidade e Proteção de Dados no Brasil. Afinal, transmite a mensagem de que a Proteção de Dados é importante e que as empresas de todos os portes devem encará-la com seriedade.
Dessa forma, é possível evitar não só as consequências administrativas, mas também possíveis consequências judiciais. Além destas, os mais graves impactos são causados pela publicidade das infrações e das sanções aplicadas, que acarreta em perda de credibilidade no mercado e, consecutivamente, perda de clientes e impactos financeiros negativos.
Venda de disparos de WhatsApp durante eleições gerou denúncia
O Ministério Público de São Paulo, Promotoria de Justiça de Ubatuba, realizou denúncia em 2021. Noticiou-se suposta oferta aos candidatos às eleições municipais de uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP. Estes dados seriam vendidos para fins de disseminação de material de campanha eleitoral, ações que teriam sido praticadas pela empresa Telekall Infoservice.
A empresa teria oferecido listas de contatos com 10 mil, 50 mil e 100 mil disparos. Considerando que o público-alvo de uma campanha eleitoral em nível municipal em Ubatuba era de 72.678 pessoas, um pacote de 100 mil disparos tinha capacidade para atingir a totalidade dos possíveis eleitores daquela região.
Então, levando este fator em consideração, é possível inferir que, mesmo a empresa seja de pequeno porte, ela não deve ser enquadrada como Agente de Tratamento de Pequeno Porte em razão do volume expressivo de dados pessoais que controla.
No relatório de instrução da ANPD, apurou-se que existiam provas suficientes para afirmar que a empresa ofertava listagem de contatos do WhatsApp e um banco de dados de 130 milhões de pessoas. Foi anexado ao processo um e-mail de oferta deste banco de dados recebido por um candidato. Além disso, na resposta da empresa Telekall Infoservice ao primeiro questionamento da ANPD, a empresa admite que houve contato com o candidato a vereador. No entanto, a empresa afirma que não houve a concretização de negócio.
ANPD iniciou processo administrativo em 2021
A empresa objeto das sanções está com o CNPJ inapto desde fevereiro 2021 na Receita Federal, mesmo período em que o processo administrativo da ANPD foi instaurado. O processo foi instaurado em 28/02/2021, ou seja, quando o processo foi instaurado o CNPJ já estava inapto.
No mesmo dia em que o processo foi instaurado, 28/02/2021, foi remetido à empresa Telekall Infoservice um ofício, com prazo máximo de 5 (cinco) dias úteis para resposta, a fim de apurar informações sobre o oferecimento ilegal de bases de dados pessoais.
As informações requisitadas foram as seguintes:
Qual o Encarregado pelo Tratamento de Dados Pessoais indicado por essa empresa para se comunicar com ANPD e quais são as informações de contato com o Encarregado, como obriga a Lei Geral de Proteção de Dados Pessoais (LGPD)?
Qual a origem dos dados que essa empresa oferece para disparar mensagens de whatsapp, conforme consta abertamente do site dessa empresa? Ou seja, de onde essa empresa pega ou acessa os dados para disparar as mensagens? Fornecer detalhadamente os dados de identificação e de contato com seu fornecedor desses dados pessoais.
Como é montada a base de dados que serve de objeto para o serviço oferecido no sítio eletrônico http://telekall.com/ ….
Quais os dados que fazem parte do banco de dados disponibilizado para seus clientes?
Quantos registros possui atualmente em seu banco de dados?
A Telekall respondeu no mesmo dia para ANPD. A empresa limitou-se a dizer o seguinte:
“Primeiramente gostaríamos de informar que não houve contratação para prestação de serviço nas eleições municipais de 2020 na localidade de Campinas estado de São Paulo, por nenhum dos autores citados na denúncia. Houve sim, um contato inicial via Whatsapp com um candidato a vereador, o qual, não resultou em nenhuma atividade comercial. Portanto, nos causa estranheza a citação do nome da Telekall Infoservices como provedora de um serviço não contratado”.
Na resposta, a empresa Telekall demonstrou não possuir conhecimento sobre a LGPD. Afinal, demonstra acreditar que, pelo fato de não ter concluído a negociação, estaria isenta de penalizações ou de adequar-se à lei.
Segundo a apuração, a empresa comercializava contatos de WhatsApp e bases de dados através do seu site como prática comum do negócio. Como agravante, a empresa não respondeu nenhum dos questionamentos da ANPD. Estes foram novamente enviados em 20/04/2021 com as mesmas perguntas.
Em razão da ausência de resposta, a ANPD enviou intimação para a empresa para manifestar-se num prazo de 10 dias. A empresa novamente não demonstrou interesse em prestar esclarecimentos e, por este motivo, foi instaurado o processo administrativo sancionador.
Processo sancionador apontou infrações à Lei Geral de Proteção de Dados
- Ausência de comprovação de hipótese legal para tratamento de dados, 7 e Art. 11 da LGPD;
- Ausência de registro de operações de tratamento de dados, conforme art. 37 da LGPD;
- Não envio de Relatório de Impacto de Proteção de Dados, 38 da LGPD;
- Ausência de comprovação da indicação do encarregado, 41 da LGPD; e
- Não atendimento à requisição da ANPD durante processo fiscalizatório, art. 5º da CD/ANPD nº 1 de 2021.
Como o Regulamento de Dosimetria e Aplicação de Sanções Administrativas estava em elaboração ainda na época, houve o sobrestamento do processo até que o Regulamento estivesse em vigor. Em fevereiro de 2023 o regulamento entrou em vigor. Assim, removido o sobrestamento, abriu-se prazo para alegações finais da empresa.
Em sua defesa, a empresa Telekall disse que achava que dados que “estão na web ou em redes sociais” seriam públicos. Portanto, qualquer pessoa pode utilizá-los e tratá-los.
Neste ponto, a empresa demonstrou novamente desconhecimento da lei, uma vez que, mesmo para dados públicos, caso a empresa os utilize, é necessário registrar as operações de tratamento de dados que utilizam estes dados e quais são as bases legais para o tratamento destes dados.
A defesa não respondeu nenhum dos outros questionamentos enviados, o que gerou o Auto de Infração para a empresa.
ANPD impôs três sanções administrativas pelas infrações cometidas
- Advertência com base no Art. 41 da LGPD: Encarregado/DPO;
- Multa simples de R$ 7.200,00 com base no Art. 7º: Hipóteses de tratamento (bases legais); e
- Outra multa simples de R$ 7.200,00 com base no Art. 5º do Regulamento de Fiscalização: deveres dos agentes de tratamento sob fiscalização da ANPD (não atendimento a alguma determinação/requisição).
Reflexões sobre a primeira multa por infrações à LGPD
O caso é um marco para a Privacidade e Proteção de Dados. É o primeiro caso com sanções administrativas impostas pela ANPD desde o início da vigência da Lei Geral de Proteção de Dados e a primeira multa por infrações à LGPD.
A empresa é de pequeno porte e sofreu processo fiscalizatório e sanções administrativas. Isso comprova que a LGPD não valerá só para empresas maiores como algumas pessoas acreditam.
Importante destacar que, neste primeiro processo de sanção administrativa, a ANPD deu multas distintas “para cada infração”, conforme prevê o art. 52 da LGPD. Fica evidente então que as multas serão aplicadas individualmente, conforme cada uma das infrações cometidas pelo agente de tratamento.
A ANPD deixou claro que aplicará sanções administrativas para empresas que não tiverem registro das operações de tratamento de dados e as bases legais para tratamento.
Também deixou claro que aplicará sanções para empresas que desrespeitarem o regulamento da fiscalização da ANPD ao não atender às requisições Autoridade Nacional quando solicitada.
A ANPD aplicou neste caso apenas Advertência, sem imposição de medidas corretivas, pelo fato de a empresa não ter apresentado um DPO nomeado durante o processo de fiscalização. Foi apresentado o próprio sócio da empresa como DPO durante a defesa no processo sancionador e ele foi aceito pela ANPD. Houve infração ao art. 41, mas foi “resolvida” durante o processo sancionador. Por este motivo, a empresa recebeu somente uma Advertência e não houve a imposição de medidas corretivas ou multa.
Primeira multa por infração à LGPD tirou muitas dúvidas do mercado
Importante destacar que a ANPD considerou válido um dos sócios da empresa ser o DPO, uma dúvida que muitas pessoas ainda têm no mercado.
Neste caso, a ANPD também esclareceu que desenvolver atividades comerciais baseadas na utilização de dados públicos necessitam de cuidados adicionais. Ficou claro que é obrigatório estabelecer a finalidade para propósitos legítimos, específicos, explícitos e informados ao titular, tratados com boa-fé sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
A empresa pretendia auferir vantagens econômicas com o uso ilegal dos dados. Portanto, de acordo com a dosimetria, as multas serão proporcionais a duas vezes o valor pretendido com o uso dos dados pessoais. A empresa ofertava um disparo de mensagens para 100 mil pessoas por R$ 5.250,00 cada. Dessa forma, o valor da multa seria estipulado em R$ 10.500,00.
No entanto, a empresa não informou seu faturamento anual para a ANPD e está enquadrada como microempresa. Em razão disso, levou-se em consideração o teto do faturamento anual (R$ 360.000,00) para avaliar se o valor da multa superaria os 2% do faturamento anual. Neste caso, a multa por cada infração ficou definida no limite de 2% do faturamento anual da empresa, considerando seu porte.
Fontes:
Despacho no Diário Oficial da União: https://www.in.gov.br/en/web/dou/-/despacho-494550988
Relatório de instrução da ANPD com detalhamento sobre o caso: https://www.gov.br/anpd/pt-br/assuntos/noticias/sei_00261-000489_2022_62_decisao_telekall_inforservice.pdf
Conte conosco
A Rastek Soluções em TI e LGPD possui larga experiência em adequações à LGPD para empresas de todos os portes. Pioneira em segurança da informação aliada à Lei Geral de Proteção de Dados, a empresa já realizou dezenas de projetos de adequação com sucesso. Portanto, se você está atento à primeira multa por infrações à LGPD e quer evitar correr riscos, preencha o formulário abaixo e aguarde o contato de nossa equipe!
Deixe um comentário