A Autoridade Nacional de Proteção de Dados (ANPD) informou nesta sexta-feira (13/12) que iniciou um processo de fiscalização de 20 empresas por não indicarem o contato de encarregado pelo tratamento de dados pessoais. A medida é exigida no artigo 41 da Lei Geral de Proteção de Dados Pessoais (LGPD).
Segundo a agência, “a medida também se estende a organizações que, além de não disponibilizarem um canal de comunicação adequado para atender aos titulares de dados, oferecem canais que não são efetivos, dificultando o exercício de direitos como acesso, correção e exclusão de dados pessoais”.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Segundo Camila Falchetto Romero, chefe da Divisão de Monitoramento da ANPD, o cenário é preocupante. “Há casos em que, mesmo sendo indicado pelo controlador, o canal de contato não cumpre adequadamente sua função de intermediar a relação entre o titular de dados e o controlador”.
As 20 empresas notificadas são:
BlueFit Academias de Ginastica e Participações S.A. (Bluefit);
Bytedance Brasil Tecnologia Ltda (TikTok);
Dell Computadores Do Brasil Ltda (Dell);
Equatorial Goiás Distribuidora de Energia Elétrica S/A (Equatorial Energia);
Escritório Administrativo Clínicas Inteligentes Ltda (Clínica Vamos Sorrir);
Eventim Brasil São Paulo Sistemas e Serviços de Ingressos Ltda. (Eventim);
GRPQA Ltda. (Quinto Andar);
Hurb Technologies S.A. (Hurb);
I.B.A.C Indústria Brasileira de Alimentos e Chocolates (Cacau Show);
Latam Airlines Group S.A. (Latam Airlines);
Open Education LLC (Open English);
Parperfeito Comunicação S.A. (Tinder);
Rede Saúde Total Cartão de Benefícios Ltda. (Saúde Total);
Ser Educacional S.A. (UniNassau);
Serasa S.A. (Serasa);
SS Comercio de Cosméticos e Produtos de Higiene Pessoal Ltda. (Jequiti Cosméticos);
Telefonica Brasil S.A. (Vivo);
Telegram Messenger Inc (Telegram);
Uber Do Brasil Tecnologia Ltda. (Uber);
X Brasil Internet Ltda. (X Corp./Twitter).
O encarregado é visto como o equivalente ao Data Protection Officer (DPO) na legislação europeia (GDPR). Além de atuar como ponte de contato entre a autoridade e a empresa, o encarregado também seria responsável, de acordo com a LGPD, pela orientação de funcionários acerca de proteção de dados e por elaborar políticas internas de proteção de dados, além de outros documentos necessários. A ANPD tem a prerrogativa de flexibilizar a exigência do encarregado para pequenas e médias empresas ou startups, a depender do porte e do tipo de tratamento de dados realizado.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
“Após mais de seis anos de aprovação da lei, é estarrecedor o fato de plataformas como Uber, TikTok, Tinder e empresas como a Serasa e a Vivo não indicarem o contato de encarregado de proteção de dados”, afirmou o Instituto de Defesa de Consumidores (Idec) sobre o tema. Segundo a entidade, “essa ação demonstra um avanço na postura fiscalizadora da ANPD”, mas “é essencial que a fiscalização seja acompanhada de sanções concretas para as empresas que ainda não estão em conformidade”.
As 20 empresas listadas pela ANPD foram contatadas pela reportagem. A Hurb afirmou que “por questões legais, não comenta processos judiciais e/ou administrativos em andamento”, mas está “à disposição das autoridades para prestar quaisquer esclarecimentos”.
Já a CacauShow disse que está “em conformidade com a legislação vigente’” e responderá à ANPD para “confirmar nossa regularidade”. Enquanto isso, a Latam afirmou que o “contato de um encarregado pelo tratamento de dados pessoais está informado nos canais oficiais”.
As outras companhias não enviaram posicionamento até o momento da publicação. O espaço segue aberto. O Telegram não possui representante no Brasil, mas foi contatado via canal global.
Fiscalização
A fiscalização tem como objetivo garantir que as empresas notificadas se adequem às exigências legais, regularizando a indicação de um encarregado ou de um canal de comunicação funcional. Caso as irregularidades persistam, as organizações poderão ser alvo de processos administrativos sancionadores, que incluem a aplicação de penalidades previstas no Artigo 52 da LGPD, como advertências e multas.
O processo de fiscalização da ANPD é regulamentado pela Resolução CD/ANPD 1/2021. Segundo ela, a fiscalização pode ser iniciada de várias formas, tanto por denúncias de titulares quanto por auditorias do próprio órgão. Se forem identificados indícios de irregularidades, a ANPD inicia um procedimento formal de apuração, que começa com a notificação oficial.
A partir dela, a ANPD avalia os dados fornecidos e investiga possíveis infrações. As sanções aplicáveis, conforme o artigo 52 da LGPD, variam de acordo com a gravidade da infração, o dano causado e a reincidência. Elas podem incluir advertências com prazo de adoção de medidas corretivas, multa simples ou até bloqueio do uso dos dados ou proibição das atividades, em casos graves.
Quando a ANPD aplicou sua primeira sanção em julho de 2023, houve também infração em relação à não indicação do encarregado. A companhia sancionada foi uma pequena empresa de telemarketing de Vila Velha, Espírito Santo, que também não apresentou relatórios e não atendeu requisições do órgão. As sanções aplicadas incluíram uma advertência e duas multas simples, cada uma no valor de R$ 7.200,00, totalizando R$ 14.400,00. A empresa teve a opção de pagar com desconto de 25% caso abrisse mão de recorrer, o que reduziria o valor para R$ 10.800,00.
Além disso, a ANPD publicou em 2023 uma lista de processos de fiscalização, que investigavam 27 instituições por possíveis violações à LGPD, incluindo a falta de designação de um encarregado como uma das falhas analisadas.