Bradesco Seguros

Especialista em Direito Digital comenta a importância do DPO e da implementação de uma governança interna de dados para evitar multas

Alexandra Krastins Lopes, advogada especialista em Direito Digital do PG Advogados / Foto: Divulgação
Alexandra Krastins Lopes, advogada especialista em Direito Digital do PG Advogados / Foto: Divulgação

Alexandra Krastins Lopes, advogada especialista em Direito Digital do PG Advogados, comenta a importância do DPO para minimizar riscos de advertências e sanções da ANPD; Escritório libera guia gratuito sobre o tema

Neste mês, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira multa administrativa por infração à Lei Geral de Proteção de Dados Pessoais (LGPD). O órgão puniu uma empresa de telemarketing com advertência, sem imposição de medidas corretivas, e multa no total de R$ 14,4 mil.

Os motivos foram a falta de um encarregado da área, também conhecido como DPO (advertência), além da ausência de base legal para tratamento de dados (multa simples de R$ 7,2 mil) e pelo não atendimento ao disposto no artigo 5º do Regulamento de Fiscalização (multa simples de R$ 7,2 mil), que abrange o fornecimento de documentos e o suporte à atuação de fiscalização da autoridade.

Para explicar por que essas situações resultaram nas sanções, Alexandra Krastins Lopes, advogada especialista em Direito Digital do PG Advogados, comenta cada ponto e orienta como empresas devem se comportar para cumprir a legislação e evitar multas.

A advertência, sem imposição de medidas corretivas deu-se pela falta de indicação do encarregado pelo tratamento de dados pessoais, o DPO. Quem deve ser esse profissional e o que ele faz? Por que importa tanto?

Alexandra Krastins Lopes: Este encarregado possui papéis importantíssimos no cumprimento da LGPD. Primeiro, pela obrigação que as organizações públicas e privadas têm em nomeá-lo. É a pessoa responsável por manter a comunicação entre a organização, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Além de ser um canal de comunicação, o DPO é quem promove a cultura de proteção de dados internamente, com papel de conscientização e orientação para que a organização atue em conformidade com a legislação. O profissional é uma figura central na execução da legislação, tanto na facilitação do exercício dos direitos dos cidadãos, quanto no auxílio às organizações em como agir dentro das regras, de acordo com as melhores práticas.

Embora a Lei não estabeleça requisitos e a ANPD ainda não tenha regulamentado o tema, é recomendável que o DPO seja um profissional experiente em proteção de dados, independente, imparcial e capaz de cumprir suas funções sem ser influenciado pela organização ou por terceiros. Ele deve estar familiarizado com as maneiras pelas quais a organização trata os dados.

É possível, também, que o DPO seja auxiliado por um comitê interno, de preferência multidisciplinar, para mais capilaridade na sua atuação. Em casos de grandes empresas multinacionais, além de um DPO, muitas vezes é necessário um ponto focal desse encarregado em cada área de negócio.

A escolha de um DPO interno ou externo depende das necessidades e dos recursos da organização. De qualquer forma, sua contratação demonstra o compromisso da empresa com a proteção de dados e a privacidade, o que pode melhorar sua reputação e, claro, evitar sanções.

Já as duas multas — cada uma no valor de R$ 7,2 mil — foram aplicadas por descumprimento dos deveres relativos à fiscalização da ANPD e das hipóteses em que é permitido o tratamento de dados pessoais, conforme a lei. Poderia simplificar, traduzir esses dois pontos para que as empresas entendam melhor os equívocos cometidos neste caso?

A.L.: De fato, o regulamento de fiscalização da ANPD estabelece deveres a serem cumpridos durante um processo de fiscalização, como fornecer informações e documentos à Autoridade, permitir o seu acesso às instalações e sistemas, submeter-se a auditorias e cumprir prazos.

A ANPD possui atuação responsiva, ou seja, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados. Isso significa que a multa pelo descumprimento dos deveres durante a fiscalização reflete o descompromisso da empresa no decorrer do processo.

A respeito do segundo ponto, a LGPD estabelece várias hipóteses legais em que são permitidos os tratamentos de dados, ou seja: coleta, armazenamento, compartilhamento ou uso de qualquer forma. E as hipóteses legais estão descritas nos artigos 7º e 11 da LGPD. Cada tratamento de dados se encaixa melhor em uma ou outra hipótese legal. E por vezes, as organizações se baseiam em hipóteses inadequadas, por diversos motivos, tais como a facilidade que algumas aparentam ter.

Vou explicar: a hipótese legal do legítimo interesse é comumente utilizada em práticas que sequer deveriam ser realizadas por empresas. Daí a necessidade de uma assessoria jurídica adequada, para que a empresa saiba qual a hipótese legal que embasará o seu tratamento de dados, quais documentos deverá elaborar para que essa hipótese seja legalmente válida, e até os riscos desse tratamento, tanto aos direitos dos titulares quanto em relação à fiscalização.

Quais as principais vulnerabilidades de uma empresa em se tratando de LGPD?

A.L.: Primeiramente, a falta de governança interna dos dados. Um projeto de governança permite à empresa conhecer os seus fluxos de tratamento que envolvem dados pessoais, possibilita enquadrar-se nas hipóteses legais permitidas e elaborar os documentos necessários, tais como avisos e políticas de privacidade ou de cookies.

É importante lembrar que alguns tratamentos de dados deverão ser cessados sim. A LGPD existe não só para criar regras sobre os tratamentos, mas também veda práticas abusivas que continuam sendo praticadas. Por exemplo, compartilhamento de dados indevido entre empresas ou envio de e-mails marketing sem fundamento legal.

Portanto, não basta ter um programa de governança e não alterar suas práticas. É necessária adequação de fato.

Além disso, a falta de concessão dos direitos dos titulares, como o direito de confirmação da existência do tratamento, de acesso, eliminação de dados, entre outros. Operacionalizar esses direitos é um desafio! E certamente uma vulnerabilidade, já que se seus direitos não forem respeitados, os titulares podem fazer reclamações e denúncias aos órgãos de defesa do consumidor e à ANPD.

Para empresas B2B, a vulnerabilidade do momento também está nos contratos. As empresas estão aditando seus contratos para aderência à LGPD, mas é necessária especial atenção, já que nesses aditivos são definidas as responsabilidades das partes, inclusive em casos de fiscalização.

Essa empresa que foi multada, ela pode recorrer? Quais os passos que ela deve tomar a partir de agora?

A.L.: Sim, a empresa poderá recorrer em até 10 dias úteis contados da intimação da decisão. Porém, caso opte por não recorrer, terá um desconto de 25% no pagamento (em até 20 dias úteis). A empresa deverá analisar as chances de sucesso em um recurso e a possibilidade do desconto ao deixar de recorrer.

Como a ANPD tem fiscalizado as empresas no País?

A.L.: A ANPD atua sob uma forma responsiva, isso significa que ela faz vistas à condução do agente regulado à conformidade da Lei. Aliás, esta tem sido uma bandeira levantada pela Autoridade, que busca pela conformidade das organizações ao invés da distribuição de multas. Porém, a Lei foi publicada em 2018 e teve sua vigência iniciada em 2020, o tempo de compreender a falta de cumprimento da LGPD certamente já passou.

Já durante a fiscalização, antes mesmo da aplicação das multas, a ANPD publica em seu site listas dos processos em andamento, e ter o nome da organização publicado já é um prejuízo reputacional imenso.

E claro, a fiscalização da ANPD também prevê a atuação repressiva, que inclui as advertências e as multas pecuniárias, como vimos neste caso da empresa de telemarketing. Apesar das discussões sobre o valor das multas, há de se considerar o porte da empresa.

As sanções deste caso dão um recado claro e importante de uma atuação firme da Autoridade, que vinha se estruturando, publicando guias orientativos e dando recomendações, mas começa a mostrar seus dentes.

Qual a principal orientação que você pode dar para a empresa multada e para tantas outras no sentido de prevenção de advertências e multas.

A.L: A orientação é de se adequar imediatamente. Políticas de privacidade vazias não vão prevenir a ocorrência de advertências e multas. Documentos criados sem um mapeamento prévio dos fluxos de dados, a falta de um DPO e de uma cultura organizacional comprometida com a proteção de dados, incluindo a alta gestão, não tem mais espaço.

Em caso de fiscalizações, responder à Autoridade nos prazos determinados é o dever básico de todas as empresas. Por isso, é importante a atuação rápida e devidamente orientada por profissionais especializados, pois as sanções podem ser mitigadas se a organização atender às recomendações durante o processo de fiscalização.

Para quem tem interesse em se aprofundar no assunto, o time de Direito Digital do PG escreveu um Guia sobre o Encarregado de Proteção de Dados. É possível baixar gratuitamente pelo link: https://conteudo.pgadvogados.com.br/guia-sobre-encarregado-de-protecao-de-dados-dpo

Total
0
Shares
Anterior
Cashback: Estratégia norte-americana que encantou o Brasil completa quase 40 anos e continua triunfando
Aluisio Diniz Cirino, CEO da Lecupon / Foto: Divulgação

Cashback: Estratégia norte-americana que encantou o Brasil completa quase 40 anos e continua triunfando

Confira artigo de Aluisio Diniz Cirino, CEO da Lecupon

Próximo
Espetáculo “Bob Esponja – O Musical” estreia em São Paulo no dia 28 de julho
Espetáculo "Bob Esponja - O Musical" estreia em São Paulo no dia 28 de julho / Foto: Divulgação

Espetáculo “Bob Esponja – O Musical” estreia em São Paulo no dia 28 de julho

Depois do sucesso da temporada do Rio de Janeiro, atração patrocinada pela BB

Veja também