ANPD Divulga a primeira aplicação de Multa com inconsistências!

ANPD Divulga a primeira aplicação de Multa com inconsistências! Multa de R$14 mil é aplicada à microempresa mas consulta de CNPJ aponta como inexistente.

Em despacho publicado em 06 de junho, o  COORDENADOR-GERAL DE FISCALIZAÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS  da  ANPD publicou medida punitiva contra a TELEKALL INFOSERVICE, inscrita no CNPF/MF sob o nº 11.193.228/0001-24, micro empresa, em razão dos indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD) 

Segundo o despacho publicado no Diário Oficial da União (DOU) relativo ao Processo Administrativo Sancionador nº 00261.000489/2022-62, o Coordenador considerando o teor do Relatório de Instrução nº 1/2023/CGF/ANPD (4232669), cujas razões acolho e integro à presente decisão, inclusive como motivação, com fulcro no §1º do art. 50 da Lei nº 9.784/1999 c/c o art. 55 e seguintes do Regulamento de Fiscalização, aprovado pela Resolução CD/ANPD nº 1/2021, decidiu:

1.  Aplicar à empresa TELEKALL INFOSERVICE as sanções de:
   1. ADVERTÊNCIA, sem imposição de medidas corretivas, por infração ao art. 41 da LGPD; e
   2. MULTA SIMPLES, nos valores de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD e de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais)

Caso o autuado resolva, de acordo com o disposto no art. 18 do Regulamento de Fiscalização, renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada, desde que faça o recolhimento no prazo para pagamento definido no caput do art. 17 do Regulamento de Fiscalização, 20 (vinte) dias úteis, totalizando nestas circunstâncias o montante de R$ 10.800,00 (dez mil e oitocentos reais).

No despacho publicado no DOU não há informações mais detalhadas sobre qual o parágrafo do Art. 7º e 5º foram comprometidos e nem sobre o “Processo Administrativo Sancionador nº 00261.000489/2022-62”, nem se sabe ainda se a ANPD tornará pública a documentação. Entretanto, deve ter sido difícil para a fiscalização investigar uma empresa cujo endereço e telefone são inexistentes na maioria dos sites de consulta ao CNPJ ( quando não estão errados).

Inconsistências no despacho

O despacho publicado trás alguns pontos de dúvidas ou inconsistência quando analisamos mais afundo os quais coloca interrogação no que foi publicado e mereceria uma atenção maior pela ANPD.

Embora o a ANPD mencione CNPF, porém não encontramos nenhum significado a está sigla, desta forma o Blog Minuto da Segurança da Informação entende que o correto seria CNPJ, considerando um possível erro de digitação, e, sendo assim, realizamos uma consulta do número informado, porém a receita federal diz que este CNPJ não existe. Por outro lado, segundo informações que nos chegou usualmente CNPJs começado com 11 ou 12 são relativos a empresas inativas, o que cria mais dúvidas ainda sobre o despacho. 

Considerando que o número informado CNPF/MF sob o nº 11.193.228/0001-24, seja na realidade um CNPJ, ainda assim o número informado não é encontrado, desta forma fizemos um teste trocando o 11 por 12 ficando o nº 12.193.228/0001-24 e então encontramos que a empresa está na SITUAÇÃO CADASTRAL INAPTA.

 De fronte a essa situação consideramos que o despacho da ANPD é no mínimo descuidada no que se refere a identificação correta do autuado e coloca dúvidas sobre a qualidade da investigação e autuação do despacho. 

Artigo 7º

O artigo 7º da Lei nº13 .709, de 14 de agosto de 2018, que Dispõe sobre a proteção de dados pessoais (LGPD), diz que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses de:

1. mediante o fornecimento de consentimento pelo titular;
2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do  capítulo IV da Lei;
4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o
   titular, a pedido do titular dos dados;
6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
8. para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
10. para a proteção do crédito, inclusive quanto ao disposto na
    legislação pertinente.

Artigo 5º

O artigo 5º da Lei nº13 .709, de 14 de agosto de 2018, que Dispõe sobre a proteção de dados pessoais (LGPD), diz que para os fins da Lei, considera-se:

1. dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
2. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico,  quando vinculado a uma pessoa natural;
3. dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
4. banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
5. titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
6. controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
7. operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
8. encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
9. agentes de tratamento: o controlador e o operador;
10. tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou  controle da informação, modificação, comunicação, transferência, difusão ou extração;
11. anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
12. consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais  para uma finalidade determinada;
13. bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
14. eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do  procedimento empregado;
15. transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
16. uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
17. relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas,  salvaguardas e mecanismos de mitigação de risco;
18. órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu  objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
19. autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

Veja também:

• LGPD: Prefeitura é condenada por vazamentos de dados pessoais

• Segurança dos Endpoints: Protegendo o usuário final
• Áreas de Tecnologia apostam no modelo Zero Trust
• Novo malware Mystic Stealer atinge 40 navegadores e 70 extensões
• Siemens Energy confirma violação de dados
• Microsoft nega violação de dados e roubo de 30 milhões de contas de clientes
• Mais de 300.000 firewalls Fortinet vulneráveis
• Compreendendo os controles criptográficos na segurança da informação
• Grafana adverte sobre bypass crítico de autenticação
• Proteção de dados: 83% das empresas de saúde devem aumentar os investimentos
• Como prevenir incidentes de dados pessoais no mercado financeiro?
• Qual é a diferença: Vulnerability Scan x Pen Test
• O seguro cibernético é mesmo necessário?