Sanção LGPD é aplicada a uma empresa de pequeno porte
A ANPD aplicou sua primeira sanção administrativa em respeito à Lei Geral de Proteção de Dados (LGPD), por meio de um despacho decisório da Coordenação Geral de Fiscalização (CGF), publicado no Diário Oficial de União (DOU).
Esse despacho é significativo e pode ser interpretado como um marco histórico no Brasil no que diz respeito à proteção de dados e um detalhe relevante é que a primeira sanção aplicada pela ANPD foi a uma empresa de pequeno porte.
Detalhamento do despacho:
1. Aplicar à empresa TELEKALL INFOSERVICE as sanções de:
1.1. ADVERTÊNCIA, sem imposição de medidas corretivas, por infração ao art. 41 da LGPD; e
1.2. MULTA SIMPLES, nos valores de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD e de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais).
Como não foi disponibilizado pelo órgão regulador o processo na íntegra, e não se tem a fundamentação, assim como a memória de cálculo da dosimetria que estipulou o valor da multa, fiz uma breve análise sobre os principais pontos:
A primeira penalidade aplicada foi a advertência, baseada no art. 41 da LGPD. Esse artigo se refere à obrigatoriedade de indicação de um encarregado (DPO) pelo controlador.
Observando que a empresa autuada é de pequeno porte e que a Resolução nº 2 da ANPD, no seu art. 11º, estabelece a dispensa de obrigatoriedade de indicação de encarregado para empresas que se encaixam na descrição de “pequeno porte”, será que essa penalidade poderia ser aplicada nesse caso concreto?
As regras previstas no art. 11 da referida resolução apontam que se o agente de tratamento de pequeno porte não indicar um encarregado, este deverá disponibilizar um canal de comunicação com o titular para atendimento do disposto do art. 41, § 2º da LGPD. Pode-se supor que, nesse caso específico, o agente infrator não possuía esse canal de comunicação. E, ainda, o agente de tratamento também pode ter, supostamente, se encaixado nas exceções previstas no art. 3º da mesma resolução. Mas, mesmo que fosse esse o caso, a ANPD não apontou as medidas corretivas a serem aplicadas.
De toda forma, como já mencionei, essa é decisão muito importante e marca essa nova fase no sistema regulatório de proteção de dados brasileiro, deixando claro que a LGPD não se aplica somente a órgãos públicos e grandes empresas. As empresas de pequeno porte, que são a esmagadora maioria no Brasil, estão sim, no radar da ANPD.
Fontes:
Despacho (Diário Oficial da União)
