Desde 2020, a Lei Geral de Proteção de Dados (LGPD) tem servido como base legal para as instituições de todo o país que necessitam tratar adequadamente os dados pessoais dos titulares. Também provocou mudanças significativas a todos os setores e definiu os direitos fundamentais dos donos das informações pessoais. Devido sua obrigatoriedade, empresas de diferentes portes devem se atentar às normas a fim de evitar a aplicação de multas e sanções diversas, como ocorrido recentemente pela primeira vez com a microempresa Telekall Infoservice.
A ação tomada pela Autoridade Nacional de Proteção de Dados (ANPD) foi uma resposta a infrações à LGPD por parte da instituição do setor de telefonia (telemarketing). Ao todo foram três artigos violados que culminaram na aplicação de uma advertência e duas multas, que somadas resultaram no valor de R$14 mil.
A decisão chega apenas em 2023, aproximadamente três anos depois que a lei brasileira entrou em vigor. Ocorrendo com uma microempresa – que é visualizada desta forma por contar com menos de 10 colaboradores e possuir um capital reduzido – o caso evidencia a necessidade de estar por dentro das regras, independentemente do porte da instituição.
Confira mais detalhes sobre o processo de sanções e entenda mais sobre a nova fase para as empresas brasileiras.
Caso Telekall
7º e 41º foram os artigos da LGPD violados pela empresa, assim como o quinto artigo do Regulamento de Fiscalização da ANPD, publicado em 2021 e que oferece mais informações sobre os procedimentos de fiscalização por parte da Autoridade.
O processo de análise do caso se iniciou quando denúncias relacionadas com a venda de listagem de contato do aplicativo WhatsApp surgiram, mais especificamente de eleitores. Portanto, o tratamento das informações aconteceu sem base legal.
Outro grande motivo foi a falta de documentos e suporte à Autoridade, assim como a não contratação de um DPO (Data Protection Officer ou Encarregado de Dados) que se faz necessário para empresas pequenas quando as informações tratadas são de alto risco.
É válido relembrar que em fevereiro de 2023 houve a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados, que determinou o início do processo de aplicação das penalidades por parte do órgão.
Essas sanções podem ser aplicadas a qualquer situação visualizada pela Autoridade como não condizente com a lei, inclusive para os casos anteriores à publicação do Regulamento (de 2020 a 2022), como é a situação da Telekall.
A instituição ainda pode entrar com um recurso, como informa o regulamento do Conselho Diretor da Autoridade.
Micro e pequenas empresas e situação atual da LGPD
Ainda que se trate de uma microempresa, as regras da LGPD devem ser aplicadas. Dessa forma, o caso demonstra a seriedade da Autoridade que está ciente de todos os casos de não tratamento e disposta a atuar como promete desde a publicação da lei.
Mesmo que existam processos diferenciados e regras próprias e mais simples para o tratamento de dados de pequenas e microempresas (visto que estão em desvantagem em comparação com as grandes empresas), reforçadas pela publicação da Resolução CD/ANPD nº 2, é importante que estejam a par de todo o regulamento.
O ato ainda pode ser considerado um marco para o mundo corporativo brasileiro e para o cenário jurídico atual que vê os efeitos da lei e os passos dados pelo país para chegar até a cultura de proteção de dados que almeja.
A movimentação da ANPD é uma alerta para as instituições de qualquer categoria, setor, tamanho e finalidade, que lidam diretamente com as informações pessoais e sensíveis.
A proteção é uma responsabilidade que deve ser prioritária na hora de organizar e tocar um negócio.
Como as empresas garantem a conformidade?
É compreensível que as instituições possuam dúvidas no momento de colocar o regulamento em prática. De início, é importante encarar a lei como uma prioridade para as organizações e entender seu funcionamento e importância por completo.
O suporte de uma equipe preparada é fundamental para o processo de conformidade. A contratação de um encarregado de dados (DPO) também é obrigatória e precisa ser feita ainda no início deste caminho.
O estudo dos mais de 65 artigos é importante de ser realizado de imediato e levará ao entendimento da melhor forma de coletar, utilizar, divulgar e descartar as informações. Também auxilia no entendimento dos processos internos e das operações já realizadas.
Entre os tópicos dispostos na Lei nº 13.709/2018, que devem ser de conhecimento de todas as instituições, vale destacar:
- Conceito de consentimento;
- Anonimização;
- Criação de um canal de atendimento;
- Necessidade de criação de um relatório de impacto;
- Investimento em segurança da informação.
É válido ressaltar que a aplicação de sanções não deve ser o único motivo para que a instituição escolha tratar corretamente os dados dos titulares. Uma boa relação com as leis vigentes é capaz de melhorar a reputação da marca, fazer com que tenha menos problemas financeiros e judiciais, além de ser um ato de governança corporativa (um dos três pontos da tríade ESG).
Além disso, os consumidores, parceiros e colaboradores terão uma boa relação com a empresa, visualizando-a como comprometida com os valores e a segurança de terceiros.
A LGPD Brasil atua para auxiliar seus clientes com a adequação a LGPD. Dessa forma, devido aos conhecimentos do time e através de uma consultoria personalizada, é possível verificar se a empresa está apta para lidar com os dados de terceiros ou se precisa aprimorar certos pontos.
Conheça mais sobre os trabalhos oferecidos pela equipe e aproveite para tirar suas dúvidas sobre a lei através do site.
