Agência Nacional de Proteção de Dados (ANPD) publicou a primeira decisão administrativa, por infração aos arts. 7º e 41 da LGPD
Após a multa, começa a crise reputacional
Agência Nacional de Proteção de Dados (ANPD), publicou em 06/07/2023, a primeira decisão administrativa, por infração aos arts. 7º (aplicou multa) e 41 (aplicou advertência) da LGPD.
O processo, iniciado em março/2022, investigou a ausência de hipótese legal para tratamento de dados pessoais, a ausência de registro de operações, o não envio de relatório de impacto, a falta de um DPO e o não atendimento às requisições da ANPD.
A decisão estabelece um precedente de que há efetiva fiscalização e punição aos que não cumprem a lei. E avisa que as empresas devem saber, tecnicamente, como tratar e proteger dados pessoais.
Essa decisão que puniu uma microempresa atualmente inativa, revela também, algo pouco ou nada observado pelas empresas, mídia e especialistas: a enorme e destrutiva repercussão nas mídias e redes sociais sobre a imagem da organização multada, expondo o nome e CNPJ da mesma.
Além da multa, a crise reputacional está instalada, com riscos de perda de clientes, parceiros e negócios.
A decisão prova que as organizações continuam desatentas e inertes à necessidade de ter um suporte técnico-jurídico especializado para alcançar a adequação e minimizar os riscos não apenas da multa, mas acima de tudo, das consequências após a multa.
O julgamento, cuja fundamentação ainda não foi disponibilizada pela ANPD, é mais que um alerta para as empresas de médio e grande porte.
Nessa primeira decisão contra uma microempresa, o valor da multa não aparenta desproporcionalidade e tem correlação com o seu faturamento.
Há fortes indícios de que a punição decorre da interpretação errada, pelo infrator, da LGPD em sua atividade-fim e pela falta de resposta aos ofícios e requisições da ANPD durante o processo.
O histórico das multas similares aplicadas na Europa pela norma GDPR, que foi umas das bases legislativas para a LGPD, também não atinge valores altos – ao contrário de outras decisões milionárias para médias e grandes empresas.
O que podemos prever é um grande aumento dos valores das multas, principalmente para casos onde houver vazamento de dados.
Além de multa, o órgão fiscalizador aplicou advertência, ao citar dispositivo da LGPD, que trata do DPO – Encarregado pelo Tratamento de Dados Pessoais.
Não há, no Brasil, conscientização das empresas em nomear e capacitar tal profissional para a realidade diária. E para as empresas que já têm o Encarregado, não basta exigir desse profissional “apenas” o conhecimento teórico.
A ausência de estudo e atualização nos casos práticos, prova que os Encarregados estão longe da realidade.
A experiência revela isso pela proliferação de “Cursos de Formação de DPO” ou supostas “certificações” antiquadas ou sem quaisquer direcionamentos para casos reais – que são os incidentes.
Também não demonstram como o DPO deve lidar com os titulares de dados no dia a dia, como interagir com a ANPD e os demais órgãos reguladores/fiscalizadores (Procons, Ministério Público, Senacon, etc).
A ANPD provou aos incrédulos que afirmavam que nada aconteceria, a sua disposição em cumprir o papel regulatório e de promover a proteção dos direitos dos titulares de dados.
A autarquia atuou e puniu. A decisão comprova para quem ainda está em desconformidade, a urgência de se cumprir a LGPD com rigor técnico.
Adequação à LGPD não é um “item de prateleira” que qualquer profissional ou consultoria pode entregar. A decisão da ANPD é mais um indicativo de que a adequação exige profissionais experientes e conhecedores de todo o caminho.
Deve haver habilidade em implantar, adequar e revisar o trabalho. Definitivamente, não é um ambiente para fazer experiências, atuar com profissionais iniciantes, convidar “experts” de outras áreas ou escolher generalistas.
Após a multa, está instaurada a crise reputacional. A adequação à LGPD ainda é vista como uma despesa supérflua, ou item secundário na lista de prioridades.
A empresa autuada, além da penalidade, está com seu nome e CNPJ expostos desde a publicação da decisão, em todos os tipos de mídias especializadas e comuns.
A exposição das empresas autuadas é muito pior que a multa em si, podendo levar ao encerramento das atividades por perda de credibilidade, parceiros e clientes.
Quem quer se associar a uma empresa que não protege os dados pessoais? Ressaltamos que o cumprimento da lei, ainda pode trazer inúmeros bons retornos, pois gera a imagem de engajamento e compromisso social, além de demonstrar que os dados pessoais estão protegidos. A crise reputacional pode ser irreversível.
O escritório Alexandre Atheniense Advogados, pioneiro e especialista em Direito Digital há 36 anos, destaca-se pelos mais qualificados meios técnicos para orientar todos os ramos de atividades empresariais.
O assunto não pode ser tratado por consultorias sem elevada capacitação no tema. Haverá consequências jurídicas, financeiras e a muito pouco destacada: reputacional. Multas até podem ser pagas. Já a recuperação de clientes, de parceiros e de imagem, nem sempre.
Em caso de dúvidas sobre esse e diversos outros temas em Direito Digital, entre em contato conosco pelo e-mail contato@alexandreatheniense.com, bem como conheça nosso exclusivo Curso de Capacitação e Formação de DPO destinado a profissionais e empresas que ainda não capacitaram os seus Encarregados pelo Tratamento de Dados Pessoais em www.athenienseacademy.com.
Fonte: Alexandre Atheniense
ANPD alerta para ligação entre Inteligência Artificial e Proteção de Dados
Processos sancionatórios da ANPD avançam, como está a maturidade da sua empresa em relação à LGPD?
