Bom Dia LGPD

Lições Aprendidas na Primeira Sanção da ANPD

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd


Na semana passada a ANPD aplicou sua primeira sanção e este primeiro documento traz algumas lições aprendidas que podem ajudar a melhorar o processo de conformidade com a LGPD. Não é nosso objetivo aqui avaliar os processos da ANPD ou o mérito da questão, mas identificar elementos que possam ajudar no Programa de Governança em Privacidade.


Alguns comentários:


  • Os processos sancionatórios abrangem o controlador e o operador


1.3. Agente de tratamento: ( x) Controlador ( ) Operador


  • O ponto focal no agente de tratamento pode ser o encarregado ou um responsável jurídico


1.4. Nome do Encarregado ou Responsável Jurídico:


  • Os primeiros processos tendem a demorar


3.2. Data da lavratura do Auto de Infração: 10/03/2022

4.2. Em 21/01/21, a Ouvidoria da ANPD enviou à Coordenação-Geral de Fiscalização (CGF) o documento E-mail Encaminhamento de ofício e anexos (SEI nº 2358136), enviado pelo Ministério Público do Estado de São Paulo


  • Na origem da infração são identificadas as primeira não-conformidades


3.5. Descrição da Infração: Oferta aos candidatos às eleições municipais de uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP para fins de disseminação de material de campanha eleitoral sem hipótese de tratamento; ausência de comprovação de registro das operações de tratamento de dados pessoais; ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; falta de comprovação da indicação de encarregado.


  • A infração é associada aos artigos da LGPD infringidos (e pelo título, também as publicações da ANPD e afins):


Dispositivo(s) Legal(is) e Regulamentar(es) Infringido(s):

a) Lei Geral de Proteção de Dados:

Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais;

Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais;

Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento;

Art. 41 – falta de comprovação da indicação do encarregado.


  • A requisição da ANPD apresenta perguntas objetivas (respostas a este tipo de pergunta devem fazer parte do "kit conformidade"):


4.3 ...

a) Qual o Encarregado pelo Tratamento de Dados Pessoais indicado por essa empresa para se comunicar com ANPD e quais são as informações de contato com o Encarregado, como obriga a Lei Geral de Proteção de Dados Pessoais (LGPD)?

b) Qual a origem dos dados que essa empresa oferece para disparar mensagens de whatsapp, conforme consta abertamente do site dessa empresa? Ou seja, de onde essa empresa pega ou acessa os dados para disparar as mensagens? Fornecer detalhadamente os dados de identificação e de contato com seu fornecedor desses dados pessoais.

c) Como é montada a base de dados que serve de objeto para o serviço oferecido no sítio eletrônico http://telekall.com/ ....

d) Quais os dados que fazem parte do banco de dados disponibilizado para seus clientes?

e) Quantos registros possui atualmente em seu banco de dados?


  • Neste caso em específico houve ausência de resposta e a ANPD intimou o agente de tratamento ao encaminhar uma nota técnica:


4.6. Em razão da ausência de resposta da empresa e do fato de o Ofício 46 (SEI nº 2515309) ter sido enviado sem aviso de recebimento (AR), a CGF elaborou a Nota Técnica 1 (SEI nº 3117275) em 20/01/22, motivando a necessidade de intimação da empresa Telekall em carta com AR.


  • A ANPD definiu a "operação de tratamento", objeto da

5.2. A leitura do processo revelou que a atividade desenvolvida pela Telekall Infoservice configura tratamento de dados pessoais, já que a oferta de listagem de contatos de WhatsApp para fins de disparo de mensagens pode ser enquadrada na previsão do art. 5º, X, que classifica como tratamento "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".


  • Os dados pessoais identificados são números de telefone


5.2 ... Com efeito, está-se diante de utilização de dados pessoais, uma vez que há uso dos números telefônicos para envio de mensagens.


  • Aqui um ponto de atenção, as obrigações do agente de tratamento definidos no artigos 4 e 5 da Resolução 1 da ANPD (é importante conhecer esta Resolução):


5.8. Por força do art. 4º, I, da Resolução CD/ANPD nº 1, de 28/10/21, a Telekall é considerada agente regulado pela ANPD, haja vista serem eles os "agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais". Cumpre especificar as atividades a que os agentes regulados estão submetidos por força da Resolução CD/ANPD nº 1, de 28/10/2021: "Art. 5º Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros:" ...


  • A comunicação, informações em sites e outros documentos também são levantados como provas:


6.2 ... Oferecemos pacote com 5, 10, 25, 50 e 100 mil contatos. Ligue agora, ou retorne esse email para ...


  • A ANPD faz referências às definições do artigo 5, é um ponto de atenção para a conformidade com a LGPD


6.17 ... embora a empresa afirme que não havia construção de base de dados, observa-se incompreensão sobre o alcance do conceito de banco de dados, previsto no art. 5º, IV, da LGPD: "conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico"...


  • Os artigos da lei são utilizados para justificar a base para as infrações


6.22 ... a) Lei Geral de Proteção de Dados: a.1) Art. 7 e Art. 11 - ausência de comprovação de hipótese legal de tratamento de dados pessoais;

6.23. Compulsando os autos, não se verificou o tratamento de dados sensíveis, cuja base legal está prevista no art. 11. Por esse motivo, afasto a infração ao art. 11 da LGPD.


  • A legitimidade no tratamento de dados pessoais pelo controlador deve estar alinhada com as hipóteses de tratamento:


6.25. Não foram identificadas hipóteses de tratamento que pudessem respaldar a atividade comercial da Telekall nos moldes em que era desenvolvida.


  • A dosimetria é explicada detalhadamente até chegar à conclusão do cálculo, exemplo:


7.22. Em seguida, sobre o valor-base, aplicam-se as circunstâncias agravantes e as atenuantes, a teor da fórmula:

Vmulta = R$ 792,00 * (1 + 0,00 - 0,00)

Valor Base * (1 + Agravantes - Atenuantes)


  • A conclusão final define multa aplicada ao artigo 5 do Regulamento de Fiscalização da ANPD (importante incluir como ponto de atenção) e ao artigo 7 da LGPD, e uma advertência associada ao artigo 41.


8.1. Considerando as provas coligidas aos autos, sugere-se a aplicação de pena de multa simples no valor de R$ 7.200,00 (sete mil e duzentos reais) à empresa Telekall Infoservice para a ofensa ao art. 5º do Regulamento de Fiscalização, a aplicação de pena de multa simples no valor de R$ 7.200,00 (sete mil e duzentos reais) para a ofensa ao art. 7º da LGPD, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais) de aplicação de multas simples, e a aplicação de uma advertência para a infração ao art. 41 da LGPD.


O relatório da ANPD é uma ótima fonte para entender a aplicação da LGPD no processo sancionatório, para fortalecer a importância do uso dos termos definidos na ANPD e na dinâmica da investigação da ANPD que mantém forte atuação técnica.

Como contribuição entendo que deveria haver um fortalecimento na padronização de uso dos termos, por exemplo:


  • "Hipótese de Tratamento" e "Hipótese Legal de Tratamento";
  • "Operação / Ação / Atividade / Processo de Tratamento de Dados Pessoais"


No segundo caso por exemplo, o documento utiliza as quatro combinações para falar sobre o Tratamento de Dados Pessoais.


Obrigado,


Abraço,


FNery


Descrição da imagem no Dall-e: "Por favor desenhe um carimbo de fiscalização detalhado, com suas marcas e inscrições características, sendo estampado em uma folha de papel branco liso que está sobre uma mesa de madeira, utilizando um estilo que imite a aquarela."


Comentários: ANPD aplica a primeira multa por descumprimento à LGPD https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd

(Art 42 .. 44, 52 .. 54) Responsabilidade e Sanções ANPD - Autoridade Nacional de Proteção de Dados
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato