Autoridade sanciona primeira empresa por descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD)

Autoridade sanciona primeira empresa por descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD)

por Christian F. Rosa e Gabriel Carnaval

Na última quinta-feira (06.07), a Autoridade Nacional de Proteção de Dados (ANPD) publicou sua primeira sanção administrativa, estabelecendo o marco de uma nova etapa na fiscalização e aplicação da LGPD no Brasil.

Em despacho, a ANPD aplicou uma advertência à empresa fiscalizada, do ramo de telemarketing, em virtude da falta de indicação do Encarregado pelo tratamento de dados pessoais. Além disso, foram aplicadas duas multas no valor de R$ 7,2 mil cada, pela falta de legítimo fundamento para o tratamento de dados pessoais, conforme hipóteses estabelecidas pela lei, e pelo descumprimento dos deveres relativos à cooperação com o processo de fiscalização da Autoridade, previstos em regulamento.

Embora os valores das multas possam ser considerados baixos quando comparados ao máximo previsto na legislação (até R$ 50 milhões, conforme art. 52, inciso II), a sua determinação considerou o pequeno porte da empresa sancionada.

Com esse ato sancionador, a ANPD demonstra que, a partir da recente publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, passa agora à atividade efetiva de cumprimento da LGPD, em sua plena vigência.

Para evitar sanções dessa natureza, resta às empresas, controladores e operadores de dados pessoais, os esforços para a implantação e operação de um Programa de Governança em Privacidade, um sistema de governança interna voltado aos dados pessoais sob sua gestão, conforme exigência posta no art. 50 da LGPD.

Gestão pública transparente da informação à luz da LGPD

por Christian F. Rosa e Bruna de O. Farias

Com a vigência da Lei Geral e Proteção de Dados – LGPD, desde 2020, a Lei de Acesso à Informação – LAI perpassa por novas provocações, agora em face da necessidade de compatibilização entre a proteção de dados pessoais e a transparência pública. De plano, que se registre: é plenamente possível a manutenção de uma boa gestão pública, alinhada aos preceitos de controle social e de privacidade, desde que se saiba ponderar os objetivos normativos incidentes, à luz dos direitos e deveres veiculados por cada um destes dois instrumentos legais. 

Certamente, a LGPD tem sua relevância para as ações de transparência pública ao passo que dispõe sobre regras aplicáveis tanto para o setor privado quanto ao setor público, ao disciplinar quando e como o tratamento de dados pessoais é aceitável e lícito. Entretanto, não é menos verdade que a LAI já trazia regras quanto ao tratamento de informações pessoais no âmbito de sua aplicação. 

A LAI expressamente impõe ao Poder Público o dever de assegurar a proteção da informação sigilosa e de caráter pessoal.  Na gestão transparente destes dados, a Administração também já estava vinculada ao dever de respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais. Inclusive, com a Emenda Constitucional n.º 115, neste rol de garantias individuais, consolida-se em definitivo o dever de respeito ao direito à proteção dos dados pessoais, que já havia sido reconhecido como garantia fundamental autônoma pela jurisprudência do Supremo Tribunal Federal (ADI 6387 MC). 

Assim, se de um lado a LGPD apenas reforçou a tutela do direito à privacidade, já protegido pela Lei de Acesso à informação. De outro lado, ao contrário do que se imagina, a nova Lei de Proteção aos Dados Pessoais passou a exigir todo um novo campo de maior transparência por parte das entidades públicas, deste modo reforçando as diretrizes da Lei de Acesso à Informação.

Isso porque restou de fato à LGPD impor ao Poder Público o dever de transparência sobre como realiza o tratamento dos dados pessoais sob seu controle. É dizer que, ao passo que pela LAI o cidadão adquire os meios para ter acesso a quais dados são armazenados pela Administração, com a LGPD, o cidadão incorpora no complexo de direitos subjetivos, de que é titular, o direito de saber sob qual fundamento legal, a finalidade, os procedimentos e as práticas que se dão o tratamento destes dados.

A própria LGPD traz um rol de regras aplicáveis somente ao tratamento de dados pessoais pelo Poder Público, que estão sujeitas a questionamentos legítimos – como foi com a LAI, já em vigor há tantos anos.  Assim, nesse sentido positivo, a LGPD complementa a LAI, pois incrementa a accountability – responsabilidade e engajamento – do Poder Público pela boa gestão de informações, neste caso de dados de caráter pessoal.

Direito ao feedback: LGPD aplicada às relações de trabalho

por Leonardo Hiroyuki Kojima

O feedback no processo seletivo é instrumento utilizado como medida de retorno e avaliação de um indivíduo. Por vezes, visto como “mero” dever de etiqueta; por outras, negligenciado.

Contudo, com o advento da Lei n.º 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (“LGPD”), a possibilidade de se receber resposta acerca do processo seletivo automatizado envolvendo, inicialmente, a análise do currículo do candidato, passa a ser um direito garantido por lei.

Isto é, o currículo do candidato é um documento que consagra diversos dados pessoais e sensíveis e, portanto, quando uma decisão, como a de seguir ou não com o candidato no processo seletivo, se pauta unicamente em virtude destes dados, deverá o empregador fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios utilizados para a decisão tomada.

O respaldo legislativo se encontra no princípio da transparência previsto no art. 6º, VI, bem como no art. 20, ambos da LGPD. Veja-se:

“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…) VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redação dada pela Lei nº 13.853, de 2019)”.

Em que pese a literalidade da lei falar em decisões automatizadas, sob a égide dos princípios carreados pelo legislador, há margem para interpretar de maneira extensiva, com o objetivo de contemplar toda decisão que verse sobre esses dados. Noutras palavras, o feedback não se restringirá às decisões baseadas em tratamentos automatizados, podendo – e devendo, se solicitado – ser fornecido, inclusive, em tratamento individualizado do processo seletivo.

Destaque-se que a inobservância da norma pode acarretar em auditoria pela Autoridade Nacional, a fim de verificar aspectos discriminatórios no tratamento destes dados, sujeitando os agentes à aplicação de sanções administrativas, conforme previsto no artigo 52, da LGPD.

Destarte, não há mais falar em “simples” dever de etiqueta ou de respeito ao próximo, exigido dos recrutadores, haja vista que o ordenamento jurídico tratou de assegurar o direito ao feedback ao candidato.