Por Brenda Beltramin
Em setembro de 2023, a Autoridade Italiana de Proteção de Dados Pessoais (Garante) multou a Axpo Energia em 10 milhões de euros por violação do Regulamento Geral de Proteção de Dados Pessoais Europeu (GDPR)[1].
Uma das empresas líderes no setor de energia na Europa foi investigada após diversas reclamações de consumidores apontando adesão não solicitada ao serviço de distribuição de energia. Alguns indicaram que somente descobriram sobre a adesão no momento do recebimento da fatura da Axpo, ou ainda, quando foram cobrados por faturas atrasadas. A situação ocorreu porque os dados cadastrais utilizados pela Axpo estavam desatualizados ou imprecisos.
Em alguns casos, os serviços de adesão eram realizados por agências subcontratadas. O regulador entendeu que era responsabilidade da Axpo verificar se a prestação dos serviços por essas subcontratadas era realizada em conformidade com o GDPR.
Esse entendimento demonstra a aplicação de um princípio basilar do GDPR, qual seja: o controlador de dados pessoais é o principal responsável por eles e deve assegurar que a cadeia de fornecedores que atua em seu nome e sob suas instruções observe a legislação de aplicável. Cabe notar que, no Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece exatamente a mesma lógica.
A multa do caso Axpo não foi um caso isolado para o setor de energia, que é um dos principais alvos da fiscalização de autoridades europeias de proteção de dados pessoais. Em 2019, a segunda maior multa relacionada ao GDPR aplicada na Europa foi a penalidade de 11 milhões de euros à qual a empresa Eni Gas e Luce (Egl) foi sujeita por suas práticas de marketing em desacordo com o GDPR[2].
A sanção resultou na combinação de duas multas: A primeira, de 3 milhões de euros, foi referente à adesão não solicitada (como no caso da Axpo). Já a segunda, de 8 milhões, foi consequência da realização de chamadas de publicidade sem o consentimento ou apesar da recusa do consumidor em receber chamadas, bem como da aquisição de bases de dados de consumidores de empresas que não haviam obtido o consentimento para divulgação desses dados. Em maio de 2024, a Garante multou a Facile Energy em 100 mil euros pelo mesmo motivo: realização de práticas de telemarketing sem o devido consentimento[3].
No Brasil, a LGPD estabelece dois caminhos para respaldar legalmente o uso de dados pessoais de campanhas publicitárias: o legítimo interesse e o consentimento. Em ambos os casos, o tratamento dos dados pessoais deve observar os requisitos e limites previstos na legislação.
A aprovação do Regulamento de Aplicação de Sanções em 2023[4] já viabilizou a aplicação das primeiras sanções da LGPD pela Autoridade Nacional de Proteção de Dados (ANPD)[5]. Nos próximos anos, é bastante provável que as atividades fiscalizadoras se aquecerão. As multas europeias sobre o setor de energia demonstram a importância do referido setor no ecossistema de dados pessoais em função da sua grande capilaridade. Assim, torna-se essencial adequar os processos internos para garantir a conformidade com a recente legislação de proteção de dados brasileira.
Não podemos ignorar as dificuldades inerentes ao momento de transformação por que passa o setor energético no Brasil, tanto devido ao rápido crescimento – que representa um aumento exponencial na quantidade de dados pessoais tratados[6] – quanto na incorporação de novas tecnologias.
O crescimento no mercado de energia – principalmente de fonte solar – vem acompanhado de estratégicas de comunicação e de marketing por parte das empresas do setor. O uso de dados pessoais para atingir potenciais consumidores não é proibido, mas deve respeitar os limites e condições previstos na LGPD.
Ademais, as tecnologias transformadoras que já estão impactando o setor, como os smart meters ou medidores inteligentes[7] para o monitoramento do consumo em tempo real[8], o uso de machine learning e inteligência artificial para facilitar a integração da energia solar com a rede, aumentar a eficiência e reduzir custos[9] – dependem do processamento de dados pessoais para funcionar. Em alguns casos, os tratamentos são realizados sobre bases de dados imensas contendo um volume significativo de dados detalhados sobre padrões de consumo. A transformação tecnológica, que é tão benéfica para as empresas do setor de energia, deve ser implementada considerando o uso responsável e legal dos dados dos consumidores.
Em um contexto no qual o aumento potencial do número de consumidores livres impulsiona, por consequência, a maior circulação de dados de consumo, o uso de dados pessoais nos termos permitidos pela legislação afeta tanto a reputação das empresa como a confiança dos consumidores – além de gerar riscos de penalidades pecuniárias. As empresas devem se atentar para o tema, se dotar das competências necessárias para tratar o assunto (interna, por meio da contratação de especialistas ou externa, por meio da contratação de uma consultoria especializada) e prever canais de atendimento aos direitos previstos na LGPD.
O caso da Axpo Energia e as importantes sanções aplicadas a outras empresas do setor de energia na Europa destacam a importância do setor no ecossistema de dados pessoais de qualquer país, assim como a seriedade com que as autoridades tratam as violações às regras de tratamento de dados pessoais.
À medida que o mercado brasileiro de energia cresce – notadamente o solar – e adota novas tecnologias, as boas práticas de privacidade e proteção de dados pessoais devem também crescer, pois o risco de uma sanção pode afetar substancialmente qualquer plano de negócios. A adequação à LGPD não é apenas uma obrigação legal, mas também um investimento na sustentabilidade e no sucesso a longo prazo do setor.
O CHENUT alcançou por oito vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9940988
[2] https://www.edpb.europa.eu/news/national-news/2020/italian-supervisory-authority-fines-eni-gas-e-luce-eur-115-million-account_en
[3] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10008076
[4] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
[5] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd ; https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-inss-e-secretaria-de-educacao-do-df-por-violacoes-a-lgpd
[6] https://www.gov.br/mme/pt-br/assuntos/noticias/brasil-bate-recorde-de-expansao-da-energia-solar-em-2023
[7] https://www1.folha.uol.com.br/mercado/2023/11/medidor-inteligente-e-aposta-do-setor-eletrico-para-substituir-modelo-manual-de-leitura.shtml, abordados em mais detalhes no artigo https://www.jota.info/opiniao-e-analise/artigos/privacidade-e-protecao-de-dados-desafios-e-perspectivas-para-o-setor-de-energia-28052024?non-beta=1
[8] https://www.absolar.org.br/noticia/alem-dos-paineis-o-papel-vital-do-monitoramento-na-eficiencia-das-usinas-solares/
[9] https://www.reuters.com/sustainability/climate-energy/how-ai-can-help-power-energy-systems-an-age-renewables-2023-12-18/
