ANPD faz valer a LGPD e iniciou aplicação das primeiras multas
No Brasil se cunhou que existem algumas leis que pegam e outras que não pegam. A LGPD – Lei Geral de Proteção de Dados Pessoais entrou em vigor em agosto de 2018 para dar maior proteção aos dados e à privacidade dos cidadãos brasileiros. Como era necessário fazer os ajustes, com isso aconteceu a pandemia e as multas estava ‘demorando’ para serem aplicadas, muitos achavam que a LGPD era mais uma das tais leis que não iria pegar no Brasil.
O setor hoteleiro é um dos segmentos que mais coletam dados dos clientes, principalmente na FNRH – Ficha Nacional de Registro de Hóspedes, mas decorrido mais de cinco anos da LGPD, muitos meios de hospedagem ainda não se adequaram. E o pior, usam os dados coletados dos hóspedes na FNRH para posteriormente enviar campanhas de e-mail marketing e para o oferecimento de pacotes promocionais. Isso é incompatível com a finalidade original e pode ser considerado um procedimento em desconformidade com a LGPD e pode sofrer as sanções.
No mês de julho deste ano, foi aplicada a primeira sanção administrativa de multa e advertência à empresa Telekall Infoservice e a ANPD – Autoridade Nacional de Proteção de Dados conta com uma equipe atuante para fiscalizar e fazer valer a LGPD. Confira nessa entrevista exclusiva com Waldemar Gonçalves, Diretor presidente da ANPD.
Revista Hotéis — Qual foi o legado que o Brasil ganhou com a entrada em vigor da LGPD? Que mudanças já ocorreram e o que podemos esperar?
Waldemar Gonçalves — O Brasil ganhou mais segurança jurídica e uma maior proteção aos dados e à privacidade dos cidadãos brasileiros com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais. Com a LGPD, passamos a ter um marco legal que estabelece um maior controle sobre as informações pessoais dos cidadãos e estabelece direitos mais claros em relação à coleta, armazenamento, uso e compartilhamento de dados pessoais, além da, responsabilização de agentes de tratamento que não cumpram as regras.
A Lei brasileira segue padrões internacionais, como o Regulamento GDPR – Geral de Proteção de Dados da União Europeia, colocando o Brasil em consonância com as melhores práticas globais facilitando, assim, o fluxo de dados pessoais com outros países, promovendo relações comerciais mais sólidas e seguras. Além disso, a LGPD não beneficia apenas os indivíduos e a sociedade, mas também as empresas que se adaptam às suas disposições. Ao implementar as boas práticas de proteção de dados pessoais, as empresas podem fortalecer a confiança dos clientes, evitar sanções legais e melhorar a reputação da marca, criando um ambiente de negócios mais seguro e confiável, além de propiciar um maior desenvolvimento da economia digital.
R.H — A LGPD aumenta a confiança dos consumidores e das empresas na realização de transações online, compartilhamento de informações e na inovação tecnológica?
W.G — Sim com certeza, pois a LGPD fornece uma legislação clara e abrangente sobre a proteção de dados e aumenta a confiança dos consumidores e das empresas na realização de transações online, compartilhamento de informações e na inovação tecnológica. Isso pode impulsionar o crescimento do mercado digital e atrair investimentos no setor. Eu acredito que a grande mudança foi a criação de um órgão específico para proteger os dados dos cidadãos brasileiros. A criação da ANPD demonstra o compromisso do Brasil com a proteção de dados e a privacidade dos seus cidadãos. Isso contribui para a reputação do País no cenário nacional e internacional, mostrando que o Brasil está alinhado com os avanços tecnológicos e preocupado em garantir a segurança e os direitos das pessoas em um mundo digital. A vida cotidiana está cada vez mais envolvida com o mundo digital e, diariamente, fornecemos centenas de dados para diversas instituições, então podemos esperar uma ANPD cada vez mais atuante, mais fortalecida e ainda mais preocupada em garantir maior segurança para a nossa população.
R.H — Com a Emenda Constitucional 115, a proteção de dados pessoais se tornou um direito fundamental e a responsabilidade da ANPD aumentou. Como está montada a estrutura da ANPD para fiscalizar as empresas para garantir que estão cumprindo a LGPD adequadamente?
W.G — A Emenda Constitucional 115 veio para consagrar o direito do cidadão brasileiro à proteção de sua privacidade e de seus dados pessoais e, isso reflete na relevância e na responsabilidade da Autoridade, como o ente fiscalizador e guardião dessas garantias fundamentais. O Decreto nº 10.474/2020 e suas alterações instituem a Coordenação-Geral de Fiscalização da ANPD como um órgão específico singular competente para fiscalizar e aplicar as sanções impostas pela Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 2018). A Fiscalização da Autoridade, divide-se internamente em Coordenação de Fiscalização – FIS; Coordenação de Incidentes de Segurança – CIS e Divisão de Monitoramento – DIM. A Coordenação de Fiscalização é responsável pela coordenação, orientação e execução das atividades de fiscalização, pela condução dos procedimentos de fiscalização e preparatórios, pela elaboração de normas, métodos e padrões de fiscalização; pelo acompanhamento e controle do cumprimento das obrigações por parte dos agentes de tratamento definidas na legislação e regulamentação pertinentes, bem como pela instrução e elaboração de proposta de aplicação de sanções em processo administrativo sancionador referente ao descumprimento de tais obrigações.
Já a CIS – Coordenação de Incidente de Segurança é responsável pela condução dos procedimentos de apuração de incidentes, dos procedimentos de Comunicado de Incidente de Segurança da Informação, e pela análise de normas, métodos e padrões de segurança da informação bem como de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
E, por fim, a DIM – Divisão de Monitoramento é responsável pelo tratamento de requerimentos referentes à fiscalização recebidos pela ANPD, pela análise crítica deles e de outras informações pertinentes à fiscalização para gerar inteligência em suporte à fiscalização, e pela promoção de ações educativas em proteção de dados pessoais. Dessa forma, a Autoridade atua não só verificando o cumprimento da legislação, mas também de forma responsiva, permitindo que a fiscalização não apenas aplique sanções, mas também adote medidas orientativas e preventivas para reconduzir os agentes à conformidade com a LGPD e remediar situações que acarretem risco aos titulares de dados pessoais.
A Emenda Constitucional 115 veio para consagrar o direito do cidadão brasileiro à proteção de sua privacidade e de seus dados pessoais
R.H — Recentemente a ANPD aplicou a primeira multa administrativa por infração à LGPD – Lei Geral de Proteção de Dados Pessoais a empresa do ramo de telefonia Telekall Infoservice. Quais foram os motivos para a aplicação dessa multa e quais os próximos passos que ela deve tomar a partir de agora?
W.G — A fiscalização foi iniciada a partir de denúncia de que a empresa Telekall Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores, para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP. A ANPD verificou que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal. Foi apurada, ainda, a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais pela empresa. Embora seja uma microempresa, a Telekall não comprovou que não fazia tratamento de alto risco, condição necessária para excepcionalizar a exigência de designação do encarregado.
Diante dos indícios de infração à LGPD e do não atendimento de determinações da equipe de fiscalização pela empresa, a CGF/ANPD lavrou Auto de Infração, iniciando o Processo Administrativo Sancionador. A Telekall Infoservice foi notificada da lavratura de Auto de Infração e apresentou sua defesa. Encerrada a instrução, a CGF/ANPD concluiu pela ocorrência de infração ao art. 7º e ao art. 41 da LGPD, e art. 5º da Resolução CD/ANPD nº 1/2021, aplicando as sanções previstas. A partir de agora, a empresa deverá pagar a multa imputada, inclusive com a obtenção de desconto caso cumpra as exigências previstas no Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD. Existe, ainda, a possibilidade de recurso da decisão ao Conselho Diretor da Autoridade.
R.H — A LGPD entrou em vigor em 18/09/2020 e somente agora se deu essa primeira multa. Por que dessa demora? Existe uma orientação educativa e monitoramento antes de aplicar a multa?
W.G — A LGPD entrou em vigor em 2020, e já em 2021 a ANPD entregou à sociedade o resultado de sua atuação fiscalizatória no âmbito do que chamamos de “Caso Whatsapp”, expedindo a primeira Nota Técnica com uma lista de recomendações à plataforma e apresentando as possíveis consequências das alterações promovidas na Política de Privacidade e nos Termos de Serviço da empresa. Atuação esta, que resultou no atendimento de 100% das recomendações feitas pela Autoridade. Em outubro de 2021, após amplo procedimento de escuta da sociedade, com audiência e consulta pública, foi publicada a Resolução nº 01, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, um instrumento fundamental para balizar a atuação fiscalizatória da Autoridade.
No entanto, ainda era necessário que outro regulamento fosse publicado: a Resolução nº 04, publicada em fevereiro de 2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela ANPD, dando assim, meios legais para que a Autoridade pudesse exercer plenamente sua competência sancionadora.
E no mês de julho deste ano, aplicamos a primeira sanção administrativa de multa e advertência à empresa Telekall Infoservice. Até que se chegue ao momento da sanção, há toda uma investigação e uma apuração de cada caso concreto pela Coordenação-Geral de Fiscalização, para que seja aplicada uma sanção o mais justa e efetiva possível. Não pode ser uma ação açodada. A ANPD atua de forma a reconduzir o agente de tratamento à conformidade com a LGPD, primeiro orientando para que situações que coloquem em risco o titular de dados pessoais sejam remediadas. Com isso, buscamos gerar posturas de colaboração entre a Autoridade, os agentes de tratamento e a solução que buscamos para proteger os dados pessoais dos titulares. Nos casos em que o agente de tratamento não atende às orientações e/ou não aplique medidas preventivas, a sanção aplicada em eventual processo administrativo sancionador poderá ser agravada.
A ANPD atua de forma a reconduzir o agente de tratamento à conformidade com a LGPD, primeiro orientando para que situações que coloquem em risco o titular de dados pessoais sejam remediadas
R.H — Qual seria a sugestão que o senhor daria para aquelas empresas que ainda acham que a LGPD é mais uma daquelas leis que “não pegarão” no Brasil?
W.G — A LGPD é uma realidade no Brasil, impulsionada pelas diversas leis e inciativas em todo o mundo para preservação da privacidade e proteção dos dados pessoais. Antes da entrada em vigor da LGPD, o Brasil já contava com diversas leis setoriais ou regulamentos que tratam da proteção de dados pessoais, direta ou indiretamente. No entanto, o país carecia de uma lei geral para regular a matéria de forma mais abrangente, não apenas para questões setoriais, como na defesa do consumidor, mas para qualquer tipo de tratamento.
Essa lacuna foi sanada com a promulgação da LGPD, lei geral aplicável tanto para o setor público como para o privado, cuja disciplina deve ser observada por todos os entes da federação brasileira. Assim, a LGPD contribuiu para a harmonização do tratamento dos dados pessoais no Brasil.
Todos que realizam operações de tratamento com dados pessoais, incluindo pessoa natural ou pessoa jurídica, de direito público ou privado, devem se adequar às exigências da LGPD. Caso não o façam ou possuam indícios de descumprimento da Lei estarão sujeitas à fiscalização da ANPD e, possivelmente, às sanções previstas na LGPD, normatizada nos regulamentos do Processo de Fiscalização e do Processo Administrativo Sancionador e de Dosimetria e Aplicação de Sanções Administrativas.
Os processos de fiscalização em andamento e concluídos, além dos processos administrativos sancionadores podem ser acompanhados pelo sítio eletrônico da ANPD.
R.H — O senhor frequentemente descreve a LGPD como uma ‘lei viva’, que necessitará de atualizações regulares para abranger todos os modelos de negócio e inovações tecnológicas. Como essa dinâmica se desdobra em outros países que implementaram regulamentos de proteção de dados pessoais antes da LGPD? Esses regulamentos têm sofrido alterações regulares? E como estão no Brasil?
W.G — A LGPD é uma lei que precisa estar em constante evolução, a fim de atender às inovações tecnológicas, novos modelos de negócio e os aperfeiçoamentos necessários para melhoria da proteção de dados pessoais no Brasil e no mundo. A fim de acompanhar esta constante evolução, a ANPD tem participado de forma ativa de diversos fóruns internacionais, espaços de debate, eventos e diálogos com outras autoridades de proteção de dados pessoais, onde foram implementados regulamentos de proteção de dados pessoais antes da LGPD.
Especificamente, a ANPD participa da análise de recomendações da OCDE, acompanha, como observadora, as discussões que ocorrem no comitê consultivo da Comissão 108 e na Global Privacy Assembly (GPA) e, também, atua como membro formal na Global Privacy Enforcement Network (GPEN) e na Rede Ibero-americana de Proteção de Dados (RIPD). Em todos esses fóruns internacionais são discutidos regularmente melhorias, aperfeiçoamentos e novas regulamentações de aspectos relativos à proteção de dados pessoais e a privacidade.
No Brasil, a LGPD deixa em aberto diversos aspectos que necessitam de regulamentação e interpretação, que possibilitam o aperfeiçoamento e evoluções interpretativas da Lei. A ANPD, por ser o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação, cabe a responsabilidade de editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, e deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos.
Neste sentido, a ANPD tem emitido, constantemente, guias e regulamentos que orientam a interpretação e a aplicação da LGPD, estabelecidos na sua agenda regulatória. A Agenda é o instrumento de planejamento que agrega as ações regulatórias prioritárias da ANPD. Seu objetivo é conferir maior publicidade, previsibilidade, transparência e eficiência para o processo regulatório da Autoridade, possibilitando seu acompanhamento pela sociedade e trazendo maior segurança jurídica na relação com os agentes regulados. Os temas prioritários podem ser acompanhados na Agenda Regulatória 2023-2024 completa.
R.H — O setor hoteleiro trata grandes volumes de dados pessoais, seja dos seus hóspedes, passantes, colaboradores, visitantes etc., para diferentes tipos de finalidades, o que implica na incidência da LGPD. Neste sentido, qual seria a recomendação do senhor para o setor, a fim de que possam ser tratados dados de acordo com os ditames legais da LGPD?
W.G — Quando se refere a tratar dados pessoais, sempre digo que menos é mais! É importante que o setor hoteleiro, assim como outros setores, tenha em mente que o tratamento de dados pessoais deve se pautar pela necessidade. A pergunta que deve ser feita é: Os dados que estão sendo tratados atendem às finalidades necessárias para o trabalho que está sendo desenvolvido? Se sim, ok. Se não, não há porquê serem coletados e armazenados. Há que se ter sempre bom senso com as informações de outras pessoas. Os controladores de dados pessoais precisam deixar claro aos titulares dos dados que a realização do tratamento desses dados pessoais atende a propósitos legítimos, específicos, explícitos e que serão tratados de forma compatível com as finalidades daquela atividade. É essencial que todas as atividades de tratamento de dados pessoais sigam os princípios elencados no art. 6º da LGPD, observando sempre a boa-fé nesse tratamento.
Quando se refere a tratar dados pessoais, sempre digo que menos é mais!
R.H — Muitos meios de hospedagens que captam os dados dos hóspedes através da FNRH, ficam depois “bombardeando” os hóspedes com campanhas de e-mail marketing e pacotes de promoções. Esse procedimento é legal e como pode ser enquadrado na LGPD?
W.G — O tratamento de dados pessoais deve se pautar pela necessidade. Os dados coletados devem restringir ao mínimo necessário para atender a finalidade específica, propósitos legítimos, explícitos e informados aos hóspedes, titulares de dados, sem a possibilidade de tratamento posterior de forma incompatível com a finalidade para a qual foram coletados. Neste sentido, a pousada ou hotel deve apresentar ao hóspede a FNRH – Ficha Nacional de Registro de Hóspedes a fim de coletar os dados pessoais, minimamente necessários, para realização do check-in. O uso destes dados posteriormente para o desenvolvimento de campanhas de e-mail marketing e para o oferecimento de pacotes promocionais é incompatível com a finalidade original e pode ser considerado um procedimento em desconformidade com a LGPD, que deve ser avaliado no caso concreto.
Tal situação seria possível, por exemplo, com a anuência do titular dos dados, de forma clara e explícita e que atenda às suas legítimas expectativas e os possíveis impactos do tratamento posterior sobre seus direitos, demonstrando assim a boa-fé da instituição no tratamento dos dados de seus hóspedes.
R.H — O que deve ser levado em consideração pelas empresas na indicação do DPO – encarregado pelo tratamento de dados pessoais. Quem deve ser esse profissional, sua função e importância?
W.G — O encarregado pelo tratamento de dados pessoais é a pessoa que deve ser indicada pela instituição para atuar como um canal de comunicação entre a organização, os indivíduos e a ANPD. Sua atuação é de extrema importância para orientar os funcionários das instituições a respeito das práticas a serem tomadas sobre a proteção dos dados pessoais.
É importante salientar que cabe exclusivamente à Autoridade Nacional de Proteção de Dados estabelecer toda e qualquer norma sobre a definição e as atribuições do encarregado. A ANPD ainda não estabeleceu essa norma sobre as atribuições do encarregado, tema que será objeto de regulamentação futura, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Por isso, até a presente data, não há reconhecimento oficial, pela ANPD, quanto à validade de qualquer norma ou procedimento de conduta estabelecidos por entidades privadas com o objetivo de nortear a atuação dos profissionais que atuam como encarregado. Até o momento, não há qualquer exigência legal de que o relacionamento entre titulares de dados e o encarregado, ou entre o encarregado e a ANPD, se dê por meio de entidades intermediárias ou representativas. À luz da LGPD, o encarregado pode se relacionar diretamente com a ANPD e com os titulares de dados pessoais.
Não existe qualquer exigência legal de registro, perante a ANPD ou perante associações privadas, de profissionais de proteção de dados ou de encarregados como condição para o exercício da profissão ou como requisito para sua contratação. Tampouco há reconhecimento oficial da ANPD quanto a eventuais mecanismos de registro privado desses profissionais. É importante esclarecer que a ANPD não credencia ou reconhece entidades ou empresas para a emissão de selos que possam atestar a adequação à LGPD, e tampouco para a homologação de softwares ou aplicativos em conformidade com a lei.
O encarregado pelo tratamento de dados pessoais é a pessoa que deve ser indicada pela instituição para atuar como um canal de comunicação entre a organização, os indivíduos e a ANPD
R.H — Como analisa a consolidação da LGPD e o que esperar para os próximos anos?
W.G — Acho importante ressaltar que a LGPD é uma lei que veio para resguardar os cidadãos. E, também, as empresas e organizações são incentivadas a adotar práticas mais seguras para proteger as informações dos cidadãos contra vazamentos, roubos ou acessos não autorizados. Com isso, espera-se uma melhoria geral na segurança da informação no nosso País. Estamos dando passos importantes para fortalecer a cultura de proteção de dados pessoais no nosso País e destaco que o impacto completo da Lei ainda está sendo consolidado e que as mudanças podem levar tempo para serem completamente implementadas. É esperado que, ao longo do tempo, ocorram ainda mais avanços na proteção de dados pessoais, no amadurecimento das práticas das empresas e no fortalecimento da cultura de privacidade no Brasil.