Em meio a um contexto de crescente conscientização sobre a importância da privacidade e da conformidade com a Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados desempenha um papel crucial na imposição de diretrizes e regulamentações. Nesse sentido, a Autoridade é responsável por supervisionar e aplicar as regulamentações de proteção de dados, principalmente regidas pela Lei Geral de Proteção de Dados (LGPD) do Brasil.
Apesar da LGPD estar em vigor desde 2020, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, regulamento da ANPD com as normas de dosimetria das sanções e que permitiu a aplicação das primeiras penalidades, foi divulgado apenas em fevereiro deste ano.
Esta normativa possui grande importância para o processo fiscalizatório devido à disposição mais detalhada sobre diversos tipos de sanções administrativas, que podem ser aplicadas em caso de descumprimento de obrigação estabelecida na LGPD, que variam desde advertência até proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Além disso, o documento estabelece os parâmetros para sua aplicação e a metodologia para o cálculo do valor-base das multas.
Para exemplificar sobre o processo fiscalização, apresentamos neste texto uma breve retrospectiva sobre as ações da Autoridade e os cuidados que a sua empresa deve para o ano de 2024.
Índice
Processo de fiscalização ANPD
O papel da ANPD inclui monitorar e fiscalizar o cumprimento das regulamentações de proteção de dados, além de fornecer orientação a organizações e indivíduos sobre questões relacionadas à proteção de dados. Além disso, a LGPD estabelece direitos para titulares de dados, impõe obrigações a controladores e processadores de dados, e delineia procedimentos para o tratamento de dados pessoais.
Entre as etapas para o processo de fiscalização estão:
1.Denúncias e Relatos: A ANPD pode iniciar uma investigação com base em denúncias ou relatos apresentados por indivíduos ou entidades sobre possíveis violações das leis de proteção de dados.
2.Investigação: A ANPD tem a autoridade para conduzir investigações a fim de avaliar se as organizações estão em conformidade com a LGPD. Isso pode envolver solicitar informações de controladores ou processadores de dados, realizar entrevistas e revisar documentação relevante.
3.Auditorias: A ANPD pode realizar auditorias regulares em organizações para garantir a conformidade contínua com as leis de proteção de dados. Essas auditorias podem ser aleatórias ou serem desencadeadas por preocupações ou problemas específicos.
4.Sanções: Se a ANPD identificar violações das leis de proteção de dados, ela tem a autoridade para impor sanções. As sanções podem incluir advertências, multas ou outras medidas destinadas a corrigir a não conformidade.
5.Orientação e Educação: A ANPD também é encarregada de fornecer orientação e recursos educacionais para ajudar as organizações a entender e cumprir os requisitos de proteção de dados. Isso pode incluir a emissão de diretrizes, a realização de workshops e o oferecimento de suporte a entidades que buscam aprimorar suas práticas de proteção de dados.
Saiba mais sobre o processo de fiscalização no nosso artigo: Lista de processos é divulgada pela ANPD
Empresas que estão em processo de fiscalização
Em maio deste ano, a ANPD divulgou a lista de empresas que estão sob investigação. A relação inclui 16 processos e 27 instituições em fase de investigação quanto à conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
Algumas análises concentram-se na maneira como as plataformas digitais lidam com os dados dos cidadãos brasileiros, com ênfase para avaliações específicas sobre o tratamento de dados de crianças e adolescentes. Confira a lista completa aqui.
Sanções aplicadas em 2023
O ano de 2023 foi marcado pelas primeiras ações punitivas da ANPD. Em outubro deste ano, a Autoridade emitiu a primeira sanção administrativa por infração à LGPD, amparada na Resolução nº 4, aprovada em 27 de fevereiro de 2023, que estabelece o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
A organização autuada foi uma microempresa privada da área de comunicação multimídia, marketing e teleatendimento, por meio do Processo Administrativo Sancionador 00261.000489/2022-62.
A empresa foi acusada de não comprovar o registro das operações de tratamento de dados pessoais, não enviar o relatório de impacto à proteção de dados pessoais referente às suas operações de tratamento, e não apresentar evidências da designação de um encarregado. Essas violações resultaram na aplicação de uma multa simples no valor de uma uma multa simples no valor total de R$ 14.400,00 e uma advertência por não indicar um Encarregado de Proteção de Dados Pessoais (infração ao art. 41 da LGPD).
Já em outubro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou o Despacho Decisório e o Relatório de Instrução, que registraram a imposição da segunda sanção em decorrência de violação da Lei Geral de Proteção de Dados (LGPD).
Neste caso, o infrator foi o Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE. As penalidades foram impostas devido às práticas inadequadas do IAMSPE em relação a um incidente de segurança que envolveu informações pessoais, como CPF, nome, RG, endereço, telefone, salário, além de imagens de documentos como CNH, RG e comprovante de residência de funcionários públicos do estado de São Paulo e seus dependentes. Esses dados foram acessados de forma não autorizada por um usuário externo
A primeira advertência refere-se à violação do art. 48 da LGPD, que exige que o controlador de dados pessoais comunique à ANPD e aos titulares sobre incidentes. O Instituto não cumpriu essa obrigação de forma tempestiva, levando três meses desde a ciência do incidente para formalizar a comunicação. Além disso, a comunicação individual aos titulares foi feita fora do prazo estipulado pela ANPD e careceu de informações essenciais.
A segunda advertência está relacionada ao art. 49 da LGPD, que exige sistemas seguros. O Instituto não implementou controles adequados para garantir a confidencialidade dos dados no Portal do Beneficiário, classificando a infração como grave devido ao alto volume de dados pessoais, incluindo informações de titulares vulneráveis.
Por se tratar de um órgão público, a ANPD optou por impor uma sanção de advertência, acompanhada de medidas corretivas, considerando-a a abordagem mais adequada para o caso e seguindo o disposto no Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
LGPD e Sanções: O que esperar para o próximo ano?
A Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu sua estrutura e está iniciando a divulgação dos primeiros processos administrativos, penalidades e Termos de Compromisso (TAC). Com o início desse processo de fiscalização (a implementação para garantir o cumprimento das leis), a perspectiva é de um aumento notável.
As empresas precisam ficar atentas também a sua gestão de terceiros. As empresas que efetivamente se adaptaram às regulamentações estão propensas a exigir a conformidade dos seus fornecedores. Isso se deve à situação em que duas ou mais entidades compartilham a responsabilidade pelo tratamento de dados pessoais. Assim, em determinadas circunstâncias, tanto o controlador quanto o operador (ou outros agentes envolvidos no processamento de dados) podem ser considerados responsáveis pelo cumprimento das disposições da LGPD.
Diante disso, é essencial que os acordos entre as partes estabeleçam claramente as responsabilidades de cada uma, detalhando como será feita a cooperação para garantir a conformidade com a LGPD. Essa abordagem visa fortalecer a proteção dos direitos dos titulares dos dados e promover uma cultura de responsabilidade compartilhada no ambiente de tratamento de informações pessoais.
De acordo com a Diretora da ANPD, Miriam Wimmer, a Autoridade ingressa em uma nova fase na qual os fundamentos regulatórios já foram estabelecidos.
“É possível fazer uso do pacote completo da LGPD, inclusive com aplicação de multas e determinação de suspensões de práticas de tratamento de dados que sejam irregulares”
Ações práticas para proteger a sua empresa em 2024
Proteger uma empresa dos riscos associados à Lei Geral de Proteção de Dados (LGPD) em 2024 requer uma abordagem abrangente que considere os seguintes pontos:
1.Conscientização e Treinamento: Garanta que todos os funcionários estejam cientes das disposições da LGPD e compreendam a importância da proteção de dados. Forneça treinamento regular para atualizar os colaboradores sobre as práticas recomendadas e as mudanças na legislação.
2.Avaliação e Mapeamento de Dados: Realize uma avaliação abrangente dos dados que sua empresa coleta, processa e armazena. Mapeie o fluxo de dados para identificar áreas de risco e assegure-se de que o tratamento esteja em conformidade com a LGPD.
3.Políticas e Procedimentos: Desenvolva políticas claras de privacidade e procedimentos internos que estejam em conformidade com os requisitos da LGPD. Estabeleça protocolos para lidar com solicitações de titulares de dados, como o direito de acesso e retificação.
4.Segurança da Informação: Reforce medidas de segurança cibernética para proteger dados contra acessos não autorizados, vazamentos e ataques. Implemente criptografia, autenticação forte e outras práticas de segurança recomendadas.
5.Adequação de Fornecedores: Certifique-se de que os parceiros e fornecedores também estejam em conformidade com a LGPD. Inclua cláusulas contratuais que exijam o cumprimento das normas de proteção de dados por parte dos terceiros.
6.Gestão de Incidentes: Desenvolva um plano de resposta a incidentes que inclua a notificação adequada em caso de violações de dados. Estabeleça procedimentos para investigar e corrigir violações de segurança.
7.Atualização Jurídica: Mantenha-se atualizado sobre as alterações na legislação de proteção de dados. Adapte as políticas e procedimentos conforme necessário para garantir conformidade contínua.
8.Auditorias e Monitoramento: Realize auditorias internas periódicas para garantir o cumprimento das políticas e procedimentos estabelecidos. Implemente sistemas de monitoramento para identificar e responder rapidamente a possíveis violações.
9.Privacidade by Design: Integre a privacidade desde o início no desenvolvimento de produtos e serviços. Considere a avaliação de impacto à proteção de dados em projetos que envolvam o tratamento de dados pessoais.
10.Gerenciamento de Consentimento: Obtenha e gerencie consentimentos de maneira clara e transparente. Ofereça opções claras para que os titulares possam retirar seu consentimento quando desejarem.
Ao adotar essas medidas, sua empresa estará melhor preparada para enfrentar os desafios e riscos associados à LGPD em 2024. Entre em contato conosco e conte com nossos advogados especialistas em proteção de dados para auxiliar a sua empresa na promoção de uma cultura de proteção de dados e conformidade contínua.
