Já se passaram seis anos da entrada em vigor da Lei Geral de Proteção de Dados Pessoais. De lá para cá, a Autoridade Nacional de Proteção de Dados (ANPD) tem desenvolvido ações de monitoramento, orientação, atuação preventiva e repressiva para a prevenção e correção de infrações.
De fato, a fiscalização foi se intensificando, e a primeira multa foi aplicada em julho de 2023, à empresa Telekall Infoservice. O descumprimento se deu por fatores como oferecer uma lista de contatos de WhatsApp de eleitores para fins de campanha eleitoral, sem a devida base legal; ausência de encarregado de dados pessoais e o não atendimento às solicitações da ANPD. Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, totalizando R$14.400,00.
Processos Administrativos Sancionadores
De lá para cá, a autarquia tem sido bastante atuante. Dados atualizados de junho de 2024 mostram que nada menos que 965 Comunicados de Incidentes de Segurança (CIS) foram recebidos desde 2021, onde por “incidente de segurança” entende-se qualquer evento que comprometa a segurança dos dados pessoais, seja por ações intencionais ou acidentais, afetando a confidencialidade, integridade ou disponibilidade desses dados. Veja na tabela a seguir:
Observe na tabela abaixo a relação dos incidentes de segurança registrados apenas em 2024, no período de janeiro a junho, com destaque para os casos de ransomware – um tipo de malware que criptografa os arquivos de um computador ou sistema, tornando-os inacessíveis ao usuário -, que já totalizam 29 comunicações somente neste ano:
Para as empresas que não cumprem a lei são instaurados Processos Administrativos Sancionadores (PAS) para investigação. Uma vez instaurado, o processo segue várias etapas, incluindo a instrução processual, onde são coletadas provas e informações, e a fase de decisão, onde a ANPD determina se houve infração e quais sanções serão aplicadas.
O enquadramento dessas organizações abrange diversas condutas, como a ausência de um encarregado de dados pessoais, ausência de envio do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), ausência de medidas de segurança, não atendimento às requisições da ANPD, entre outros.
As sanções aplicáveis variam conforme a gravidade da infração e podem incluir advertências, multas, e até mesmo a proibição parcial ou total do tratamento de dados. Mais detalhes sobre as sanções a serem aplicadas só serão divulgados após a conclusão das investigações, respeitando-se os direitos de ampla defesa e contraditório. Como você pode verificar, a lista atual de PAS envolve tanto entidades públicas quanto privadas.
Processos de Fiscalização Concluídos
A Coordenação-Geral de Fiscalização (CGF) da ANPD concluiu a análise de diversos processos de fiscalização, garantindo a conformidade com a LGPD. Confira a seguir alguns dos processos que tiveram sua análise concluída:
- DNIT e PRF: Avaliação do compartilhamento de dados entre o Departamento Nacional de Infraestrutura de Transportes (DNIT) e a Polícia Rodoviária Federal (PRF);
- WhatsApp: Análise da alteração da Política de Privacidade;
- Facebook: Verificação de conformidade do tratamento de dados pessoais pela plataforma;
- Receita Federal do Brasil: Verificação da conformidade do tratamento de dados pessoais em relação à Portaria RFB nº 81/20211;
- Ministério da Saúde: Investigação sobre o vazamento de dados de médicos participantes de uma audiência pública;
- Telegram: Avaliação da conformidade do tratamento de dados pessoais pelo serviço de mensagens;
- INEP: Verificação de mudanças na política de publicação de dados do Exame Nacional do Ensino Médio (ENEM).
Esses processos refletem o esforço contínuo da ANPD em assegurar que empresas e órgãos públicos estejam em conformidade com as normativas de proteção de dados, reforçando o compromisso do Brasil com a privacidade e a segurança dos cidadãos. Para saber mais, acesse aqui a lista completa dos processos concluídos e arquivados.
Atuação legislativa
A ANPD trabalha para o fortalecimento da cultura de proteção de dados em nosso país, colaborando com o Congresso Nacional em diversas iniciativas legislativas, como a participação na Comissão Especial de Direito Digital e a Comissão de Juristas do Senado, para desenvolver projetos de lei sobre Inteligência Artificial (IA).
Com relação ao debate sobre a regulação de plataformas digitais e uso da IA, a autarquia publicou o estudo “Contribuição preliminar para o debate público sobre a Lei de Liberdade, Responsabilidade e Transparência na Internet”, em reconhecimento à necessidade e à importância de uma regulação responsiva, que garanta direitos como privacidade, proteção de dados pessoais, liberdade de expressão e ao direito à informação no ambiente digital. O modelo institucional de regulação seguido pela ANPD se baseia em experiências e melhores práticas internacionais, provenientes da União Europeia, França, Holanda, entre outros países.
Por fim, destacamos que a Lei Geral de Proteção de Dados Pessoais e a criação da Autoridade Nacional de Proteção de Dados foram marcos importantes para a cultura da proteção de dados no Brasil. No entanto, por ainda ser incipiente, há desafios a serem enfrentados a fim de consolidar sua estrutura administrativa. O Conselho Diretor do órgão reforça que está comprometido com ações educativas e de conscientização, além de focar na eficiência das fiscalizações e na aplicação de sanções quando necessário.
A LGPD estabelece regras claras para o tratamento de dados pessoais de clientes, colaboradores e parceiros de negócios por parte das organizações. A lei impõe obrigações para proteger tais dados de acessos não autorizados e vazamentos, às quais as empresas devem se adequar.
A Maragno Advogados auxilia empresas de diversos setores a alcançar a conformidade. Conte com uma assessoria jurídica com expertise em LGPD para ser uma aliada na orientação e implementação de políticas de controle e tratamento de dados na sua empresa.
Artigo escrito por Paula de Maragno, Sócia Fundadora da Maragno Advogados.
