A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira punição administrativa decorrente do Processo Administrativo Sancionador de nº 00261.000489/2022-62. Para uma melhor compreensão da relevante decisão é preciso destacar breves considerações acerca dos fatos que originaram a instauração do Processo Administrativo Fiscalizatório e, posteriormente, o desdobramento do Processo Administrativo Sancionador a partir dos subsídios constantes na própria decisão.

A empresa autuada é uma microempresa que atua no setor privado como provedora de serviços de telefonia, tais como telemarketing e autoatendimento via serviço de mensageria WhatsApp. A ANPD foi provocada mediante ofício do Ministério Público do Estado de São Paulo, através da Promotoria de Justiça de Ubatuba, noticiando suposta oferta de comercialização de listagem de contatos de eleitores de Ubatuba/SP para fins de disparo de material de campanha eleitoral, instaurando-se, assim, o Processo Administrativo Fiscalizatório.

Ato seguinte, a empresa autuada foi oficiada pela ANPD para que prestasse informações relacionadas à identificação do encarregado de proteção de dados, a origem dos dados de contatos comercializados e como se deu a construção da base do banco de dados que abastece a atividade ofertada, a categoria dos dados pessoais disponibilizados aos clientes e o volume de registros existentes no banco de dados.

A resposta se limitou à negativa de ter havido qualquer contratação com o denunciante, optando deliberadamente por não responder aos demais
questionamentos. A ANPD renovou a intimação, observando o registro por carta registrada, tendo o prazo decorrido sem resposta. E foi com fundamento na conduta inerte da autuada em prestar os esclarecimentos solicitados que foi instaurado o Processo Administrativo Sancionador, lavrando-se, assim, o auto de infração.

Foram apontadas as seguintes infrações à Lei Geral de Proteção de Dados (LGPD): i) ausência de hipótese legal de tratamento; ii) ausência de indicação de encarregado; iii) ausência de envio de relatório de impacto à proteção de dados; e, iv) falta de comprovação de registro de operações de tratamento de dados pessoais.

Em sua defesa, a empresa noticiou que os serviços de marketing por ela comercializados haviam sido encerrados temporariamente visando a adequação às regras impostas pela Lei Geral de Proteção de Dados. Quanto a hipótese de tratamento autorizadora para a atividade desenvolvida, a empresa justificou a ausência em razão da natureza pública dos dados pessoais. Quanto ao encarregado, apresentou extemporaneamente a identidade do profissional.

Apesar do relatório da decisão suprimir as respostas referentes a algumas das indagações da ANPD, especificamente quanto à origem e à estruturação da base de dados, o documento conclui que diante das evidências coletadas, através do site da própria empresa, restou incontroverso que os dados utilizados para os serviços comercializados se originavam de dados disponíveis na internet.

Conforme palavras extraídas do relatório, constatou-se que a autuada "montava banco de dados, na medida em que filtrava números telefônicos para fins de disseminação de mensagens publicitárias por intermédio do WhatsApp". Desta feita, a ANPD tipificou o ato infracional consistente no oferecimento, via venda em site de listas de contatos de titulares de dados para envio de mensagens, nas violações à Lei Geral de Proteção de Dados, por ausência de base legal dos artigos 7º e 11º, falta de comprovação de encarregado - artigo 41º - e infração ao artigo 5º do Regulamento de Fiscalização configurado no não atendimento às requisições no curso do processo fiscalizatório.

Não foram aplicadas sanções em virtude da não apresentação do registro das operações de tratamento e do relatório de impacto à proteção de dados, tendo em vista não terem sido previamente requisitados pela ANPD à empresa autuada. Feitas as considerações para fins de melhor compreensão e aprofundamento dos critérios que ensejaram a aplicação das penalidades, cabem alguns registros para melhor interpretação da primeira decisão proferida pela ANPD no âmbito das competências que lhe são atribuídas por força do artigo 5º, XIX, 55-J, inciso I, da LGPD e artigos 17º e 48º do Regimento Interno da ANPD.

Sobre a infração referente a ausência de hipótese legal autorizadora para que o tratamento se desse de forma lícita, a própria empresa autuada ao prestar os esclarecimentos recusou-se a informar, apenas noticiando tratar-se de dados públicos. Interessante observar que mesmo diante da inconteste não alocação da base legal no caso concreto, a ANPD traz em seu relatório de instrução possíveis alternativas que poderiam ser eventualmente avocadas pelo agente de tratamento, as afasta com as devidas explicações e que são subsídios valiosos para melhor compreensão da lógica aplicada pelo órgão regulador.

Especificamente no que tange ao legítimo interesse do controlador e do terceiro, a autoridade salienta que para ser considerada uma viabilidade precisaria fazer uma leitura conjunta do artigo 7º., parágrafos 3, 4 e 7 e artigo 6º, I da LGPD.  Em resumo, é dito que os dados públicos podem ser utilizados desde que respeitem o princípio da finalidade, ou seja, o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com a finalidade originária. Ainda, os dados cujos acessos são públicos devem considerar a finalidade, boa fé e o interesse público que justificaram a disponibilização.

O tratamento posterior de dados públicos para nova finalidade está condicionado também à preservação dos direitos do titular. E, nessa linha de raciocínio, é descartada a licitude do tratamento de dados públicos para novas finalidades, sendo assinalado que o legítimo interesse não é aplicável quando não se resguardam os direitos e garantias fundamentais do titular de dados.

A impossibilidade de serem exercidos os direitos assegurados pela legislação pertinente, em seu artigo 18º, em virtude do desconhecimento por parte do titular acerca da existência de tratamento de dados a seu respeito, inviabiliza o exercício dos direitos relativos e configura afronta às garantias individuais.

Quanto à sanção decorrente da violação do artigo 41º, falta de indicação do encarregado, a decisão administrativa aplicou a penalidade de advertência. Entretanto, olvidou em justificar o seu entendimento pelo desenquadramento da empresa autuada como agente de pequeno porte, uma vez que, tratando-se de microempresa e com limite de faturamento anual, a regra geral atrairia a flexibilização da observância de atribuição da figura do encarregado.

Incontroverso que existem condições que excluem o enquadramento na regra geral, tais como o envolvimento com elevado volume de dados pessoais e categoria de dados sensíveis, situação esta que se imagina ser o caso em tela, mas por razões técnicas os parâmetros para o enquadramento como agente de grande porte deveriam estar fundamentados, sob risco de possível arguição de nulidade relativa ao ponto específico.

E, por fim, a penalidade referente ao não atendimento às requisições da ANPD resultou na violação do artigo 5º do Regulamento de Fiscalização, consubstanciando-se na infringência ao dever de colaboração do agente de tratamento pelo não atendimento aos deveres aos quais se submetem no âmbito do processo fiscalizatório.

Ao tratar sobre a dosimetria e aplicação das sanções administrativas, a teor do artigo 11º do Regulamento, a referida infração foi classificada como grave, atraindo a aplicação das alíquotas correspondentes sobre o faturamento da empresa previstos no Apêndice I do Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

Denota-se, pois, que a conduta colaborativa do agente de tratamento é ativo de grande valor e, de fato, podem representar situações atenuantes e que estão previstas no artigo 13º do Regulamento, desde que, demonstradas até a decisão de primeira instância. Portanto, a obstrução à atividade fiscalizatória, além de tipificar infração de natureza grave, impossibilita a aplicação de circunstâncias atenuantes no cálculo das multas.

Assim, a partir dos subsídios trazidos nesta primeira decisão no âmbito do processo fiscalizatório e sancionador da ANPD é possível concluirmos que, independentemente do tamanho, a empresa é passível de investigação e aplicação de penalidades por parte da Autoridade, sendo de extrema relevância a demonstração do interesse do agente de tratamento em auxiliar o órgão regulador. Afinal, as boas práticas não se limitam às atividades de tratamento propriamente ditas, mas também se estendem ao alcance das informações necessárias durante a instauração do processo fiscalizatório.

Autores: Martha Leal, Advogada especialista em Proteção de Dados, mestre em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlántico e pela Universidad Unini México e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD)

Rafael Almeida Oliveira Reis, CIPP/E, Mestre em Direito pela PUC/PR, Presidente do Instituto Nacional de Proteção de Dados (INPD), Coordenador da Pós-graduação em Dados, Inteligência Artificial e Alta Performance Jurídica da Pós PUCPR Digital, Head da área de Tecnologia e Inovação Digital da Becker Direito Empresarial