ANPD aplica sua terceira sanção

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 18/10/2023, a sua terceira Sanção, desta vez aplicada contra órgão público do Estado de Santa Catarina. As sanções foram impostas pela contrariedade do órgão aos artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como ao artigo 5º, I, do Regulamento de Fiscalização, conforme delineado pelo processo administrativo conduzido pela Coordenação-Geral de Fiscalização (CGF).

Das quatro violações identificadas pela CGF, três foram categorizadas como graves. Conforme a decisão emanada pela ANPD, o órgão teria negligenciado a segurança dos sistemas que armazenam e tratam dados pessoais dos cidadãos de Santa Catarina atendidos pelo sistema estadual público de saúde.

Além disso, após um incidente de segurança, o órgão não esclareceu de forma clara, adequada e tempestiva quais os dados pessoais comprometidos, impactando cerca de 300 mil titulares de dados que não foram comunicados sobre o incidente. Adicionalmente, o órgão não forneceu o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) quando solicitado e não disponibilizou outras informações requisitadas pela Autoridade.

Como resultado, a ANPD decidiu impor quatro advertências, uma para cada violação identificada. Como medidas coercitivas, o órgão foi instruído a disponibilizar um comunicado sobre o incidente de segurança em seu site oficial por um período de 90 dias e a notificar diretamente aqueles cujos dados foram potencialmente afetados pelo incidente.

É possível observar um padrão nas sanções aplicadas até a presente data pela ANPD. Em sua primeira decisão, a ANPD sancionou empresa de telemarketing por oferecer listagens de contatos eleitorais sem respaldo legal para clientes e por não apresentar evidências da designação de um encarregado para o tratamento de dados pessoais. Além disso, a ausência de provas de que a empresa não realizava tratamentos de alto risco foi um ponto de destaque.

Já no caso da segunda sanção, restou aplicada contra um órgão público do Estado de São Paulo, ante à inexistência de garantia de sistemas seguros para armazenar e tratar os dados dos servidores do Estado e seus dependentes. Como agravante, o órgão sancionado também não comunicou de maneira adequada um incidente de segurança que comprometeu esses dados.

 

Para mais informações, consulte os profissionais da área de Governança Corporativa e Programas de Compliance do GSGA.

ANPD aplica primeira sanção em processo administrativo

A ANPD publicou hoje, 06 de julho de 2023, a primeira sanção aplicada pelo órgão em processo administrativo. A autoridade condenou uma empresa de Telemarketing, nos autos do processo nº 00261.000489/2022-62, por infrações ao artigo 41 da Lei 13.709/2018 (LGPD), pois a empresa deixou de indicar Encarregado pelo Tratamento de Dados Pessoais; ao artigo 7º, uma vez que a empresa tratou dados pessoais sem adequação necessária às hipóteses legais que permitem o tratamento de dados pessoais e que estão previstas no artigo; e, por fim, ao artigo 5º, tendo em vista que a empresa tratou dados pessoais sem observar os princípios e conceitos previstos na Lei.

A sanção imposta pela infração ao artigo 41 corresponde à advertência sem imposição de medidas corretivas. Pelas infrações aos artigos 7º e 5º, a empresa foi multada nos valores de R$ 7.200,00 (sete mil e duzentos reais), por infração, o que totalizou a quantia de R$ 14.400 (catorze mil e quatrocentos reais). A ANPD ainda determinou a redução de 25% (vinte e cinco por cento) do total do valor das multas aplicadas, caso a empresa renuncie expressamente ao direito de recorrer da decisão, nos termos do artigo 18 do Regulamento de Fiscalização, e recolha o valor total de R$ 10.800 (dez mil e oitocentos reais), no prazo máximo de 20 (vinte) dias úteis da ciência da decisão, conforme artigo 17 da Regulamentação de Fiscalização.

Se a empresa desejar recorrer, poderá protocolar recurso em um prazo de 10 (dez) dias úteis, a contar da ciência da decisão. Caso a decisão transite em julgado e não seja cumprida, as multas poderão ser executadas pela Procuradoria Federal Especializada da ANPD e a empresa inscrita no CADIN e na Dívida Ativa da União.

 

Clique aqui para outros temas recentes.

Dados pessoais de falecidos: privacidade diante da inaplicabilidade da LGPD

Por meio da Nota Técnica nº 3/2023/CGF/ANPD¹, a Autoridade Nacional de Proteção de Dados, ente responsável por zelar, implementar e fiscalizar o cumprimento da Lei 13.709/2018 (Lei Geral de Proteção de Dados), manifestou-se, pela primeira vez, sobre um tema que restou omisso na LGPD: o tratamento de dados pessoais de pessoas falecidas.

Nessa oportunidade, a ANPD posicionou-se no sentido de afastar a incidência das normas de proteção de dados pessoais do tratamento conferido a dados de pessoas já falecidas. Essa posição baseou-se no fato de não se enquadrarem, na visão da Autoridade, as pessoas falecidas, na definição de titular de dados trazida pelo artigo 5°, V, da LGPD, que o define como: “a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento”.

A principal justificativa para este afastamento encontra respaldo na definição de pessoa natural prevista no Código Civil Brasileiro (Lei 10.406/2022), em seu artigo 6°, que estabelece que a existência da pessoa natural extingue-se com a morte.

A partir disto, nota-se que muito embora não haja qualquer dispositivo na LGPD dedicado a este tema, o posicionamento da ANPD acompanha o que prevê o regulamento europeu de proteção de dados pessoais, General Data Protection Regulation (GDPR), tido como uma das principais normas sobre a proteção de dados pessoais. Isto pois, ao contrário da LGPD, o diploma europeu, em seu o Considerando 27, é categórico ao estabelecer que o regulamento não é aplicável aos dados pessoais de pessoas falecidas, prevendo, inclusive, que compete a cada estado-membro a criação, se assim desejar, de normas específicas sobre este tratamento.

Neste cenário, considerando a inaplicabilidade da LGPD sobre os dados desta categoria, cumpre analisar de que maneira outras normas do ordenamento jurídico brasileiro acomodam o tratamento destas informações. Para isso, é importante entender o que o macrossistema entende sobre os direitos da personalidade.

Ora, a partir do que se extrai do Código Civil e da Constituição, os direitos da personalidade são, dentre vários outros, aqueles que dizem respeito à privacidade, à intimidade, à honra, à imagem, ao nome e são dotados de um grau de proteção mais elevado, sendo caracterizados como intransmissíveis, irrenunciáveis, indisponíveis e oponíveis.

A importância deles é tanta que, mesmo após o falecimento do sujeito de direitos, a tutela jurídica dos direitos de personalidade da pessoa falecida é mantida, sendo garantido a terceiros a legitimidade para requerer a cessão da ameaça ou lesão aos diretos afetados, nos termos do artigo 12, parágrafo único, do Código Civil.

Em observância a esta previsão, a jurisprudência nacional já demonstrou posicionamentos favoráveis, nos quais os direitos da personalidade de pessoas falecidas foram protegidos pelos legitimados, como é o caso do emblemático julgamento do Recurso de Apelação de n° 70075449405 ², pela 10ª Câmara Cível do TJ-RS (Tribunal de Justiça do Rio Grande do Sul), que entendeu como configurado o dano moral à honra e à imagem da falecida diante da sua inscrição indevida em órgãos de proteção ao crédito após o seu falecimento. Neste caso, o autor da ação foi o marido, viúvo, com legitimidade reconhecida.

Observa-se, portanto, que a garantia de direitos post mortem, não só é reconhecida, como também é prevista e reafirmada dentro do próprio ordenamento. Surge, assim, um aparente antagonismo entre o que reconhece o macrossistema jurídico e como se posiciona a ANDP. Isto pois, a proteção de dados pessoais integra o rol de direitos da personalidade, por dizer respeito à privacidade dos titulares, mas, se interpretada de forma avulsa, a partir do entendimento da autoridade, afasta a proteção dos titulares falecidos.

Esta preocupação é agravada quando encontramos situações em que a jurisprudência se posiciona de forma contrária ao protecionismo, como no caso do julgamento do Habeas Corpus n° 86.076/MT, em que STJ se manifestou contrariamente a respeito da privacidade de pessoa falecida, entendendo não ser ilícita a prova obtida do seu celular mesmo sem autorização judicial por, nesta situação, inexistir a privacidade a ser tutelada (STJ, RHC nº 86.076/MT, 6ª T., relator ministro Sebastião Reis Júnior, j. 19.10.2017, DJe 12.12.2017, Informativo nº 617).

Considerando, então, o entendimento de que a pessoa falecida não é titular de dados pessoais e tampouco possui direito de privacidade, será possível considerar que os direitos de personalidade são garantidos de forma limitada quando se tratar de proteção dos dados pessoais e privacidade de falecidos?

Além disso, no que diz respeito à própria aplicação da LGPD, surgem algumas incertezas a partir da Nota Técnica n° 3. Um exemplo a ser refletido: como fica o tratamento dos dados pessoais que são mantidos com base no consentimento? Diante da ausência de previsão na LGPD e considerando o posicionamento da ANPD, é possível afirmar que, a partir da morte do titular, o agente de tratamento fica autorizado a manter o tratamento dos dados do falecido sem a prévia oitiva ou manifestação de seus herdeiros/familiares? Nestas hipóteses, será garantido o direito de representação aos legitimados em razão da utilização de dados pessoais após o falecimento de quem consentiu?

Se mesmo com a existência de previsão expressa na lei ficam em aberto vários questionamentos que dependem de manifestação e até mesmo regulamentação por parte da ANPD, constata-se que para temas que acabaram sendo deixados de fora da norma, igualmente pairam incertezas quanto à conduta adequada a ser seguida.

Ao deixar de dispor expressamente sobre a aplicabilidade ou não da LGPD ao tratamento de dados pessoais de pessoas falecidas, o legislador deixou margem de dúvida a quem lê e interpreta a Lei, cabendo agora à ANPD suprir tal omissão e assegurar que essa lacuna não venha a ensejar interpretações distintas ou antagônicas pelo Poder Judiciário, e, consequentemente, uma insegurança jurídica no que toca à matéria.

Tratando-se de um ponto ainda pouco questionado, mas com grandes chances de tornar-se cada vez mais recorrente em razão da alta disponibilidade de dados pessoais em meios físicos e digitais, é indispensável que todos os titulares de dados ou legitimados estejam atentos a esta temática. A violação ou exposição indevida de dados de pessoas falecidas representa uma possível ofensa aos direitos da personalidade que poderá ser levada à tutela jurisdicional, quando cabível.

Devem, em vista disso, os agentes de tratamento buscar, de forma preventiva, a assessoria adequada para assegurar a devida conformidade com a LGPD, reduzindo, assim, significativamente os riscos de eventual questionamento sobre o tratamento de dados realizado.

 

________________________________________________________________

¹ Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nota-tecnica-no-3-2023-cgf-anpd.pdf> Acesso em: 13/06/2023.

² Apelação Cível, Nº 70075449405, Décima Câmara Cível, Tribunal de Justiça do RS, relator: Jorge Alberto Schreiner Pestana, Julgado em: 01-03-2018. Disponível em < https://www.tjrs.jus.br/buscas/jurisprudencia/exibe_html.php> Acesso em: 19 jun. 2023.

 

*Artigo publicado originalmente no Conjur.

 

ANPD divulga lista de processos de fiscalização em andamento

A ANPD divulgou, no mês de maio, uma lista contendo 16 processos e 27 instituições que estão sendo investigadas em relação à sua conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). O objetivo dessa divulgação, segundo o Coordenador-Geral de Fiscalização, Fabrício Lopes, é cumprir o compromisso assumido pela ANPD de dar transparência às atividades da autoridade e comunicar que a fiscalização já está em andamento desde a criação da ANPD, mesmo antes da publicação dos regulamentos de fiscalização e dosimetria, que ocorreu no início deste ano.

O processo de fiscalização tem como propósito verificar e analisar o cumprimento das obrigações estabelecidas pela LGPD a agentes regulados. Por meio dele, a ANPD trabalha para fortalecer o cumprimento da lei e proteger o direito fundamental à proteção de dados pessoais, garantido pela Constituição Federal.

Durante o processo de fiscalização, a ANPD pode propor medidas preventivas aos agentes regulados, com o intuito de garantir sua conformidade com as disposições legais. Além disso, a autoridade tem a capacidade de realizar auditorias e solicitar informações detalhadas sobre o tratamento de dados pessoais, com foco na conformidade e no respeito à proteção de dados pessoais.

Por outro lado, o processo administrativo sancionador é utilizado para aplicar as penalidades determinadas pela LGPD, geralmente quando existem indícios probatórios de infração.

A condução dos processos sancionadores é responsabilidade da Coordenação-Geral de Fiscalização da ANPD, com o objetivo de investigar infrações e aplicar sanções quando ocorrerem tratamentos de dados em desacordo com a legislação. Esses processos são conduzidos por meio de um procedimento administrativo que garante o contraditório, a ampla defesa e o direito de recurso.

No caso de descumprimento da LGPD, a ANPD tem a autoridade para impor diferentes sanções administrativas, que variam desde advertências, com prazos para a adoção de medidas corretivas, até multas, cujo valor máximo pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

 

Clique aqui para outros temas recentes.

 

Novo enunciado sobre o tratamento de dados de crianças e adolescentes

Como resultado da participação na Tomada de Subsídios aberta ao público no período de 08 de setembro a 07 de outubro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o seu primeiro Enunciado, dedicado a uniformizar a interpretação da Lei Geral de Proteção de Dados (LGPD) em relação ao tratamento de dados de crianças e adolescentes.  

A partir do que determina o Enunciado n°1, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, tanto no artigo 7°, que versa sobre as bases legais aplicáveis aos dados pessoais comuns, como no artigo 11, que regulamenta as hipóteses de tratamento de dados pessoais sensíveis. De toda forma, mantem-se a necessidade de atender a disposição do artigo 14 da legislação, que impõe a necessidade de observar o melhor interesse dos titulares no caso concreto. 

Este entendimento gera um impacto positivo aos agentes de tratamento, uma vez que a redação do artigo 14 da LGPD, dedicado exclusivamente ao tema dos dados de crianças e adolescentes, se interpretado de modo isolado, gerava o entendimento de que o tratamento estaria restrito à hipótese legal do consentimento, devendo este ser manifestado de forma expressa pelos pais ou responsáveis legais. 

A partir da publicação do Enunciado nº1, o Órgão Regulador possibilitou que a coleta e o tratamento dos dados dessa espécie sejam realizados com menos complexidade, prevendo a possibilidade da utilização de base legais distintas do consentimento, como por exemplo nos casos de cumprimento de obrigação legal ou atendimento do interesse legítimo do controlador, afastando o entendimento anteriormente extraído apenas da leitura do artigo 14 da lei, causado pela ausência de parecer da ANPD sobre o tema.  

No entanto, ainda será necessário um maior cuidado por parte do controlador ao tratar dados de crianças e adolescentes, que deve se atentar à necessidade e proporcionalidade do tratamento e aos interesses desses titulares. A mera ampliação do rol de hipóteses aceitas, não legitima o tratamento indiscriminado destas informações. 

Para além disso, o enunciado impacta diretamente nos programas de proteção de dados em andamento e já implementados, que deverão adequar seu conteúdo ao novo olhar trazido pela ANPD sobre o tratamento de dados de crianças e adolescentes, garantindo às empresas a possibilidade de maior facilidade na operacionalização da proteção de dados destes menores. 

Clique aqui para outros temas recentes.

Sanções administrativas da ANPD: o que as empresas precisam saber

Inicialmente serão adotados pelo órgão métodos de monitoramento extensivo e superficial para identificar potenciais infratores

Desde a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas¹, já foram instaurados pela Autoridade Nacional de Proteção de Dados (ANPD) oito processos administrativos sancionatórios, sendo sete deles em face de agentes ligados à Administração Pública e um ao setor privado.

A divulgação destes processos demonstra que a ANPD está cumprindo com a obrigação de fiscalização, e acaba por gerar o questionamento e um inquietamento das empresas acerca do que esperar da autoridade.

Os representantes do órgão já se manifestaram em eventos públicos sobre sua atuação, esclarecendo que será responsiva e proporcional ao comportamento dos agentes regulados, levando em consideração as peculiaridades do caso concreto.

É inegável que, desde sua elaboração, a LGPD pautou-se na regulação responsiva, uma espécie de alternativa ao modelo tradicional de fiscalização que possui viés predominantemente punitivista, demonstrando em suas disposições a preferência por uma atuação preventiva, educativa e direcionada ao alcance da conformidade regulatória.

Baseada na teoria responsiva da regulação criada por Ian Ayres e John Braithwaite², a regulação responsiva pode ser representada por uma pirâmide de enforcement ou de constrangimento. Trazendo esta teoria para atuação da ANPD, notar-se-á que ela possui em sua base a autorregulação (agentes que exercem espontaneamente a adequação com a legislação), em seguida, no meio pirâmide, a autorregulação compulsória (agentes que se adequam em razão da atuação discreta do regulador) e, no topo, agentes que demandam atuação pesada, resultando em aplicação de sanções expressivas.

Essa representação de pirâmide de constrangimento enaltece a conscientização e adequação espontânea dos agentes regulados, restringindo a atuação sancionatória do órgão regulador para casos pontuais de desrespeito e descaso à legislação e a sua atuação.

Nesse sentido, inicialmente serão adotados pela ANPD métodos de monitoramento extensivo e superficial, para identificação de potenciais infratores. Quando identificadas situações de desconformidade, sua atuação para combatê-las terá cunho orientativo, visando à adequação do infrator aos termos da LGPD, com indicação de medidas a serem adotadas, ou seja, reflexo do infrator posicionado no meio da pirâmide de constrangimento. Caso não respeitadas, com nítido descaso por parte do agente regulado, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório, com consequente elevação do infrator ao topo da pirâmide de constrangimento.

Todo esse processo pretende e tende resultar que os agentes expectadores da atuação da ANPD desejem estar posicionados na base da pirâmide, logo, invistam na adequação à LGPD, para justamente não receberem tratamento ostensivo direcionado aos agentes que estiverem no topo, como os alvos dos processos tornados públicos recentemente.

Apesar dos processos ainda estarem em fase de instrução, as entidades envolvidas já foram afetadas, indiscutivelmente, em virtude da publicidade promovida pela ANPD, impactando negativa e diretamente na imagem e reputação dos entes, além de alastrar um sentimento de insegurança para os titulares de dados que, de certa forma, com elas se relacionam.

Impacto acentuado no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, até mesmo consequências econômicas mais graves do que uma sanção pecuniária, considerando a comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais, além da conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

À vista disso, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, a melhor maneira de afastar o risco de se tornar alvo da autoridade é buscar estar posicionado sempre na base da pirâmide de constrangimento.

O primeiro passo para trilhar esse caminho é a implementação de um programa de governança em proteção de dados , que deverá ser seguido de um trabalho contínuo de atualização e monitoramento, sempre amparado por profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do órgão.

O motivo desse ser o principal caminho a ser seguido, pauta-se no que a ANPD irá avaliar no momento de uma fiscalização, que se estende muito além da existência de uma infração, mas se de fato a empresa possui mecanismos efetivos de proteção de dados, além do interesse do agente em resolver o problema e o tempo despendido para se adequar.

A partir da implementação dos mecanismos basilares de um programa de governança em proteção de dados, o risco de sofrer a aplicação de uma sanção pela ANPD é exponencialmente reduzido, principalmente porque não necessariamente uma infração à LGPD resultará na aplicação de uma penalidade. Com a comprovação de que a empresa ou entidade possuía internamente uma cultura de proteção de dados e procedimentos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a multa pode ser atenuada, em até 75%.

De forma prática, o investimento das empresas em um adequado programa de governança em proteção de dados traz, indiscutivelmente, reflexos positivos, de modo que a proatividade e o desejo espontâneo de buscar a conformidade com a LGPD coloca estas empresas na base da pirâmide de conformidade, que é o melhor cenário de relacionamento com a ANPD.

Ainda, o pior cenário que essas empresas podem enfrentar é a ocupação do meio da pirâmide, cabendo a elas corrigir eventuais comportamentos e/ou procedimentos. Por fim, o desfecho positivo é que elas nunca alcançarão o topo da pirâmide, no que diz respeito à atuação regulatória responsiva da ANPD, e consequentemente se esquivam da possibilidade de aplicação de sanções expressivas por meio de processos administrativos sancionatórios.

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

² AYRES, Ian; BRAITHWAITE, John, Responsive regulation: Transcending the deregulation debate, New York: Oxford University Press, 1992.

 

* Artigo publicado originalmente no Jota.

Posicionamento da ANPD após a publicação do regulamento de aplicação e dosimetria das sanções administrativas

Com o advento do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado em 27 de fevereiro de 2023, por meio da Resolução CD/ANPD Nº 4¹, que definiu o procedimento fiscalizatório e de aplicação de penalidades pela Agência Nacional de Proteção de Dados – ANPD, o principal questionamento das empresas gira em torno do que esperar do Órgão regulador, que agora se considera totalmente apto a exercer sua atuação sancionatória no âmbito administrativo.

Até o momento, já foram instaurados pela ANPD 08 (oito) processos administrativos sancionatórios, todos ainda em fase de instrução, em face de agentes que descumpriram a Lei Geral de Proteção de Dados – LGPD, sendo 07 (sete) delas ligadas à Administração Pública e 01 (uma) do setor privado.

Apesar de ainda não existir condenação, é inegável que as entidades envolvidas já foram afetadas em razão da publicidade promovida pela ANPD ao divulgar não apenas seus nomes, mas também as condutas cometidas. A difusão conferida pela ANPD, sem sombra de dúvida, impacta negativa e diretamente na imagem e reputação dos entes, além de transmitir um sentimento de insegurança para todos os titulares de dados que, de alguma forma, com elas se relacionam.

O impacto é mais severo no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, inclusive consequências econômicas até mais graves do que uma penalidade pecuniária, em decorrência da comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais e também do fato de a conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

A alta administração da ANPD já se manifestou sobre a sua forma inicial de atuação, que será responsiva e proporcional ao comportamento dos agentes regulados, de modo que todas as suas ações serão alinhadas às peculiaridades do caso concreto e individualidade do infrator.

Inicialmente, serão adotados pelo Órgão, métodos de monitoramento extensivo e superficial, especialmente focados no nível de exposição de dados pessoais, para identificação de potenciais infratores. Uma vez identificadas as situações de desconformidade, a atuação da ANPD terá cunho orientativo/educacional, visando à adequação do infrator aos termos da LGPD, inclusive com indicação das medidas que precisam ser adotadas ou corrigidas. Por fim, caso não respeitadas as orientações emanadas da ANPD, com nítido descaso por parte dos agentes regulados, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório.

Cumprindo a promessa de transparência ativa, que não se confunde com a penalidade de publicização das sanções, ao divulgar a lista dos 8 (oito) processos instaurados, a ANPD justificou ter se pautado nas seguintes motivações até o momento:

i. Ausência de nomeação de encarregado de dados pessoais;

ii. Não envio de relatório de impacto de proteção de dados;

iii. Ausência de medidas de segurança;

iv. Ausência de comunicação de incidente de segurança a ANPD e titulares;

v. Ausência de comprovação de hipótese legal;

vi. Ausência de registro de operações; e

vii. Não atendimento à requisição da ANPD.

Vale destacar que, previamente à instauração dos processos, grande parte das entidades já haviam sido notificadas pela ANPD para corrigirem as infrações identificadas.  Ademais, observa-se que a ANPD não exigiu nada além dos requisitos dispostos na própria LGPD, inclusive aspectos básicos de um programa de governança em proteção de dados, até mesmo porque, conforme indicado, a ANPD não irá inovar em suas cobranças e se pautará apenas em assegurar que aquilo que está previsto na legislação seja observado.

Dessa forma, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, é importante destacar que o caminho a ser percorrido para afastar o risco de se tornar alvo de processo administrativo sancionatório da ANPD, consiste basicamente em se manter bem-informado e assessorado para buscar a conformidade com a lei no que diz respeito à proteção de dados pessoais

O primeiro passo recomendável é a implementação de um programa de governança em proteção de dados, que deverá ser seguido de um trabalho contínuo de atualização/revisão e monitoramento, sempre amparado no auxílio de profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do Órgão.

Portanto, concretamente, a ANPD irá avaliar no momento de uma fiscalização, para além da existência de uma infração, se a empresa possui mecanismos efetivos de proteção de dados, como o mapeamento dos dados pessoais que trata, nomeação de um encarregado de dados pessoais, planos de ação e mitigação de riscos, relatório de impacto, medidas de segurança cibernética e treinamentos periódicos, todos desenvolvidos para sustentar um programa de governança em proteção de dados.

A partir da adoção desses mecanismos, o risco de aplicação de uma sanção pela ANPD é exponencialmente reduzido, na medida em que uma infração à LGPD não resulta necessariamente na aplicação de uma penalidade. Na hipótese de ser possível comprovar que a empresa ou entidade possuía uma cultura de proteção de dados e procedimentos internos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a penalidade pode ser atenuada, com redução em até 75%, em caso de multas pecuniárias.

Verifica-se, portanto, que o investimento em um adequado programa de governança em proteção de dados apenas traz reflexos positivos às empresas que se dedicam a buscar a verdadeira conformidade com a lei.

____

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 17/04/2023

Atuação sancionatória da Autoridade Nacional de Proteção de Dados como um meio propulsor na criação de uma cultura de proteção de dados

Como um novo passo na criação de uma cultura de proteção de dados, a Resolução CD/ANPD Nº 4¹,  publicada em 27 de fevereiro de 2023, regulamenta os artigos 52 e 53 da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados e altera a Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Com efeito imediato a partir da publicação, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas decorrentes de violações à LGPD, seguindo parâmetros objetivos estipulados pelo Regulamento, bem como metodologia definida para dosimetria do valor-base das multas pecuniárias.

Muito embora inúmeras discussões sobre o tema de proteção de dados pessoais e aplicação de multas tenham ocorrido no âmbito judicial, haja vista que cerca de 100 processos que circundam a matéria foram tornados públicos mediante divulgação do portal da transparência da ANPD², ocorre que na esfera administrativa apenas agora a ANPD, na qualidade de órgão responsável pela fiscalização e aplicação de sanções relativas à proteção de dados pessoais, está apta a tomar frente nas discussões relativas a infrações.

Para tanto, o Regulamento definiu que a aplicação das sanções pela ANPD, além de ser gradativa, deve pautar-se na peculiaridade do caso concreto e individualidade do infrator, de modo a respeitar a proporcionalidade da gravidade da conduta do agente e da sanção a ser aplicada, observando os parâmetros e critérios dispostos em seu artigo 7º, como: grau do dano, vantagem auferida ou pretendida pelo infrator, condição econômica do infrator, reincidência (se específica ou genérica), cooperação do infrator, assim como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar a ocorrência ou a extensão do dano – em outras palavras um programa de governança em proteção de dados.

Com o fim de assegurar a proporcionalidade na aplicação das sanções, que ocorrerá de forma gradativa, isolada ou cumulativa, o Regulamento estabelece, em seu artigo 8º, uma classificação segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, entre leve, média ou grave, sendo que a definição quanto à classificação da infração decorrerá diretamente da consequência gerada aos titulares dos dados, o que dependerá de uma análise casuística e subjetiva da ANPD. Seu posicionamento acerca desta análise subjetiva somente ficará claro após o início da aplicação do Regulamento.

A classificação das infrações afeta diretamente a definição quanto às sanções que poderão ser aplicadas ao infrator (artigo 3º do Regulamento), devendo ser observada uma ordem progressiva. Assim, exemplificativamente, aquelas mais gravosas – suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados – somente poderão ser aplicadas quando já tiver sido imposta sanção mais branda prevista na Resolução.

O Regulamento estabelece, ainda, a observância das garantias de direito processual, ao estipular que as sanções somente serão aplicadas após devido procedimento administrativo, mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.

Com base no nítido fator inspiracional da LGPD em relação à legislação europeia de proteção de dados pessoais (General Data Protection Regulation – GDPR) e a atuação do seu órgão responsável pela fiscalização e aplicação de sanções, que já aplicou mais de 293 milhões de euros em sanções, distribuídos em mais de 700 condenações desde sua a entrada em vigor (2018), a tendência é que, no Brasil, sejam seguidos os mesmos passos no que tange à aplicação de sanções.

Neste ponto, é preciso relembrar o cenário encontrado na Europa após a entrada em vigor da GDPR, que se apresentou com baixa aplicação de sanções nos primeiros meses, visto que as autoridades locais priorizaram inicialmente a orientação e depois a aplicação de sanções, que depois de iniciada consistiu, em sua maioria, em altas multas pecuniárias e relevante prejuízo aos infratores.

Assim, considerando que a entrada em vigor da LGPD ocorreu em setembro de 2020 e que desde então a ANPD tem se empenhado na publicação de orientações sobre a LGPD, é possível que essa a fase de pura conscientização esteja próxima do fim e que o cenário que encontraremos após a publicação da resolução seja de imediata dedicação da ANPD à fiscalização e aplicação de sanções. As penalizações poderão ser inicialmente mais brandas, considerando a recente manifestação do órgão no sentido de que prezará pelo viés orientativo e educativo, assim como pela proporcionalidade.

Com a publicação do Regulamento de Dosimetria das Sanções Administrativas ficou ainda mais clara a importância das empresas e organizações investirem na criação de uma cultura de proteção de dados e em programas de governança em privacidade.

Há que ser levado em conta que, ao fim, será menos custoso e danoso para a empresa/organização investir em treinamentos e programas efetivos, que além de evitarem a ocorrência da infração podem implicar em até 75% de redução na multa, do que vir a ter que arcar com as possíveis sanções a serem aplicadas pela ANPD, em especial considerando a cobrança já existente no mercado para comprovação de conformidade com a LGPD como condição para que sejam firmadas novas parcerias e negócios.

 

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 13/03/2023

² Disponível em: https://anppd.org/violacoes – Acesso em 13/02/2023

Publicada pela Autoridade Nacional de Dados Resolução que regulamenta a Aplicação e Dosimetria das Sanções

Em 27 de fevereiro de 2023, foi publicada a Regulamentação nº 4/23 CD/ANPD, que estabelece os parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as dosimetrias para o cálculo do valor-base das sanções da multa.

A aplicação da Sanção se dará após o regular procedimento administrativo, garantido o direito de ampla defesa e o devido processo legal. Se houver pluralidade de infratores, será aplicada de forma a individualizar a conduta de cada um dos infratores e toda decisão proferida deverá ser fundamentada.

Ponto importante da resolução é que as sanções se darão de forma gradativa, com a progressão da atuação da ANPD para sanções mais graves, na hipótese de a sanção leve não ser cumprida ou não houver regularização da infração depois de sanção imposta pela ANPD, sendo certo que a aplicação de sanções não obsta a atuação do órgão para adoção de outras medidas previstas na LGPD ou resoluções da ANPD.

Os critérios para aplicação das sanções levarão em conta: a gravidade e a natureza das infrações; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica, considerada pela resolução a repetição da infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração; a reincidência genérica, considerada como o cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, a contar do trânsito em julgado do processo administrativo sancionador até a data da nova infração, excluída a hipótese de reincidência específica; bem como o grau do dano.

Os critérios para aplicação também levam em conta a responsabilidade de atuação do infrator, como: a sua boa-fé; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança; a pronta atenção de medidas corretivas, e a proporcionalidade entre a gravidade da falta e a intensidade da ação.

A infração poderá ser considerada leve, média ou grave, a depender da lesão que gerar aos titulares dos dados pessoais afetados, incluindo eventuais danos materiais ou morais, como discriminação e violação à integridade física, à imagem e à reputação.

As sanções administrativas que podem ser aplicadas pela ANPD são as seguintes: advertência, quando a infração for leve ou média e não caracterize reincidência; multa simples, quando o infrator não tenha atendido à medida preventiva determinada pela ANPD, se a infração for grave e/ou, caso pela natureza da infração, seja a única sanção possível, sendo certo que a resolução ainda prevê quais os parâmetros para a aplicação da multa simples e quais serão as agravantes e atenuantes para a determinação do valor base da multa, que deve ser paga em até 20 (vinte) dias úteis. A ANPD pode aplicar ainda a multa diária para garantir o cumprimento da sanção, publicização da infração, após devidamente apurada e confirmada a sua ocorrência e bloqueio dos dados pessoais a que se refere a infração até a sua regularização.

Após aplicadas uma das sanções acima, a ANPD poderá aplicar ainda, ao mesmo caso concreto, em uma atuação progressiva: a eliminação dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados a que se refere a infração e proibição parcial ou total do exercício das atividades relativas ao tratado de dados. A forma de aplicação das sanções aqui citadas, também estão reguladas pela resolução.

Por fim, a resolução modifica a resolução nº 1/2021 – CD/ANPD para inserir a possibilidade de progressão das medidas preventivas até as medidas de sanção, no caso de não cumprimento das primeiras quando aplicadas pela ANPD, bem como modificações procedimentais nos recursos das decisões proferidas em Processo Administrativo Sancionador.

 

Clique aqui para outros temas recentes.

Publicada resolução que aprova sanções pela ANPD

Foi publicada, no Diário Oficial da União, a Resolução CD/ANPD nº 1, que aprova a regulamentação de processo de fiscalização e as regras aplicáveis ao processo administrativo sancionador pela Autoridade Nacional de Proteção de Dados.

Destaca-se, em primeiro lugar, a previsão dos requerimentos que podem ser formulados para informar ao órgão supostas infrações à Lei de Proteção de Dados Pessoais. São eles: (i) a petição do titular de dados pessoais, exclusiva para o titular de dados que formulou requerimento ao controlador e não obteve resposta adequada no prazo determinado em regulamentação e (ii) a denúncia, que poderá ser realizada por qualquer pessoa natural ou jurídica, inclusive anônima.

No que tange aos procedimentos previstos, o processo de fiscalização ocorrerá através das atividades de monitoramento, orientação e atuação preventiva, com o objetivo de levantar informações, promover a educação dos agentes de tratamento e titulares de dados pessoais, bem como construir o diálogo com os entes regulados para orientá-los e reconduzi-los à conformidade.

O regulamento prevê medidas preventivas que poderão ser aplicadas pelo órgão aos entes regulados, como a divulgação de informações, o aviso, a solicitação de regularização ou informe e o plano de conformidade. Caso não sejam atendidas as recomendações, poderá a autoridade adotar uma atuação progressiva e mesmo repressiva, com a instauração do processo administrativo sancionador.

No tocante ao processo administrativo sancionador, este tem como objetivo a apuração de infração à legislação de proteção de dados de competência da ANPD e poderá ser instaurado de ofício pela Coordenação Geral de Fiscalização em decorrência do processo de monitoramento ou diante de requerimento formulado ao órgão.

Importante ponto do regulamento é a possibilidade de o interessado apresentar à Coordenação Geral de Fiscalização, Proposta de Celebração de Termo de Ajustamento de Conduta (TAC), que seguirá regulamentação própria da Autoridade Nacional de Dados e será analisado pelo Conselho Diretor. Celebrado o acordo, o procedimento administrativo ficará suspenso e será arquivado quando cumpridos os termos previstos.

Importante destacar que a regulamentação também apresenta uma outra sanção para casos de obstrução à atividade de fiscalização, aplicável ao agente regulado que não atender às solicitações da ANPD, previstas no artigo 5º do regulamento.

Pelos termos da Resolução, é possível perceber que a regulamentação privilegia a prevenção, através da autorregulação dos agentes, e uma atuação progressiva da ANPD, até a instauração do procedimento administrativo sancionador, que ocorrerá caso estejam presentes indícios de infração à Lei Geral de Proteção de Dados Pessoais.

Quanto à dosimetria da pena administrativa, importante esclarecer que esta ainda pende de regulamentação a ser editada pela Autoridade Nacional de Dados.

 

Clique aqui para outros temas recentes.