A Coordenação-Geral de Fiscalização (CGF/ANPD) concluiu processo administrativo sancionador que resultou em aplicação de sanções de multa e de advertência por ofensas à Lei Geral de Proteção de Dados.
A CGF/ANPD concluiu que a empresa infringiu os arts. 7º e o 41 da LGPD, , além do art. 5º do Regulamento de Fiscalização da ANPD. in verbis:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
(…)
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
(…)
Art. 5º Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros:
I – fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
II – permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
III – possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
IV – submeter-se a auditorias realizadas ou determinadas pela ANPD;
V – manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
VI – disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.§ 1º Os documentos, dados e as informações requisitados, recebidos, obtidos e acessados pela ANPD nos termos deste Regulamento são aqueles necessários ao exercício efetivo das suas atribuições, bem como aqueles sujeitos às regras de acesso e classificação de sigilo previstas em regulamentação específica.
§ 2º Cabe ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial.
§ 3º Os documentos apresentados sob a forma digitalizada deverão cumprir os requisitos estabelecidos pelo Decreto nº 10.278, de 18 de março de 2020.
§ 4º O agente regulado, por intermédio de representante indicado, poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração ou em que o sigilo seja necessário para garantir a sua eficácia.
Art. 6º O não cumprimento dos deveres estabelecidos no art. 5º poderá caracterizar obstrução à atividade de fiscalização, sujeitando o infrator a medidas repressivas, sem prejuízo da adoção das medidas necessárias com o objetivo de concluir a ação de fiscalização obstruída por parte da ANPD.
Para a infração ao art. 7º da LGPD e ao art. 5º do Regulamento de Fiscalização foram aplicadas sanções de multa simples. O descumprimento ao art. 41 da Lei resultou em sanção de advertência.
Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, conforme art. 52, II, da LGPD, totalizando uma multa de R$14.400,00.
Pare melhor compreensão, entenda o caso.
A fiscalização foi iniciada a partir de denúncia de que a empresa xxx Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP.
A ANPD verificou que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal. Foi apurada ainda a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais pela empresa.
Embora seja uma microempresa, a xxx não comprovou que não fazia tratamento de alto risco, condição necessária para excepcionalizar a exigência de designação do encarregado.
Diante dos indícios de infração à LGPD e do não atendimento de determinações da equipe de fiscalização pela empresa, a CGF/ANPD lavrou Auto de Infração, iniciando o Processo Administrativo Sancionador.
A xxx Infoservice foi notificada da lavratura de Auto de Infração e apresentou sua defesa. Encerrada a instrução, a CGF/ANPD concluiu pela ocorrência de infração ao art. 7º e ao art. 41 da LGPD, e art. 5º da Resolução CD/ANPD nº 1/2021, aplicando as sanções, conforme trecho da decisão:
(…) Aplicar à empresa xxx INFOSERVICE as sanções de:
1.1. ADVERTÊNCIA, sem imposição de medidas corretivas, por infração ao art. 41 da LGPD;
e 1.2. MULTA SIMPLES, nos valores de R$ 7.200,00 (sete mil e duzentos reais) por infração
ao art. 7º da LGPD e de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais).1.2.1. Caso o autuado resolva, de acordo com o disposto no art. 18 do Regulamento de Fiscalização, renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada, desde que faça o recolhimento no prazo para pagamento definido no caput do art. 17 do Regulamento de Fiscalização, 20 (vinte) dias úteis, totalizando nestas circunstâncias o montante de R$ 10.800,00 (dez mil e oitocentos reais).
2. Pela intimação do autuado para cumprimento da sanção e/ou apresentação de recurso, em
até 10 (dez) dias úteis, em consonância com o art. 44 da Lei nº 9.784/99 c/c o art. 58 do Regulamento de Fiscalização. Advirto o autuado que a multa deverá ser paga no prazo de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão de aplicação da sanção, nos termos do art. 55, §2º, II, do Regulamento de Fiscalização.3. Aguarde-se o trânsito em julgado. Após, em caso de não cumprimento desta decisão,encaminhe-se este Processo Administrativo Sancionador para a Procuradoria Federal Especializada – PFE da ANPD para a execução da multa cominada, sob pena de inscrição do autuado no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin) e na Dívida Ativa da União, nos termos do art. 56 c/c art. 67 do Regulamento de Fiscalização.
FABRÍCIO GUIMARÃES MADRUGA LOPES
Coordenador-Geral de Fiscalização
O mesmo regulamento prevê a possibilidade de recurso da decisão ao Conselho Diretor da Autoridade.
Nosso escritório conta com o advogado Rogério Santos, que é Pós-graduado em Direito Digital e LGPD.
Dúvida? entre em contato conosco, clique aqui e agenda sua consultoria ou envie-nos um whatsapp