Após um ano do advento da norma de dosimetria (Resolução No. 04 CD/ANPD, de 24.02.2023), publicada pela Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção dos dados pessoais no Brasil, existem cinco sanções administrativas aplicadas por violação das disposições da Lei Geral de Proteção de Dados (LGPD). 

A tendência é o aumento da quantidade destas sanções para o ano de 2024, considerando o papel fundamental que a ANPD vem desempenhando na aplicação das normas de proteção de dados, desde a entrada em vigor da LGPD.

Na busca de garantir o cumprimento das disposições legais e promover uma cultura de respeito à privacidade dos titulares, a ANPD tem utilizado seu poder fiscalizatório para aplicar sanções às empresas e organizações que descumprem as disposições da LGPD. As sanções aplicadas variam de advertências a multa simples, de acordo com o tipo de infração, sua gravidade e o artigo violado da LGPD. 

Nos cinco processos sancionatórios cujos documentos foram disponibilizados ao público, verifica-se que a advertência foi aplicada em quatro ocasiões, enquanto a multa simples foi aplicada em uma ocasião. Além disto, também tiveram mandados para revisões de notificação pública e atualizações de conformidade. Importante notar que a divulgação pública dessas penalidades também pode comprometer a reputação da empresa.

Essa distribuição do tipo das sanções está intimamente ligada aos agentes de tratamento sancionados, pois foram aplicadas quatro sanções de advertência em órgãos públicos e uma multa em uma empresa privada. Como os órgãos públicos não estão sujeitos às multas, prevalecem as advertências e os mandados para correção de procedimentos. Em outras palavras, ela serve como um alerta para que a organização ajuste suas práticas de tratamento de dados para estar em conformidade com a LGPD.

A multa apenas foi aplicada à empresa Telekall Infoservices, por ofensa ao artigo 7º da LGPD (ausência de base legal para convalidar uma atividade de tratamento) e ao artigo 5º do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD (não fornecimento de documentos e dados no prazo solicitado pela Autoridade).

Principais infrações:

As principais infrações que chamaram a atenção regulatória foram: 

(I) a ausência de um Encarregado de Proteção de Dados designado;

(II) o registro inadequado das atividades de processamento;

(III) cooperação insuficiente com a ANPD durante investigações;

(IV) respostas atrasadas a incidentes cibernéticos;

(V) a falha em implementar controles robustos de segurança de dados. 

Dentre esses cinco processos analisados, foi possível constatar que os principais artigos da LGPD utilizados como fundamentação para as decisões da ANPD incluem:

– Artigo 38 da LGPD: presente na fundamentação de três processos, estabelece que a ANPD poderá determinar ao controlador que elabore e apresente um relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados.

– Artigo 48 da LGPD: o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança, que possa acarretar risco ou dano relevante aos titulares. Tal dispositivo foi o mais utilizado pela ANPD até o momento, estando presente em cinco processos administrativos.

– Artigo 49 da LGPD: os sistemas utilizados pelos agentes de tratamento para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares. Ele também se mostrou presente na fundamentação de três processos da ANPD.

Pontos de atenção:

Cumpre destacar que além desses artigos a ANPD também se baseia em outros dispositivos legais e regulamentações complementares para fundamentar suas decisões, buscando sempre garantir o cumprimento dos princípios e diretrizes estabelecidos pela LGPD. Essas sanções impostas pela ANPD servem de bússola para ação das empresas indicando como pontos de atenção: 

1. Cuidado com a ausência de comunicação em caso de incidentes de segurança: muitas empresas resistem a notificar a ANPD em caso de incidentes, com receio de expor suas fragilidades, entretanto a falta de transparência e boa-fé com a ANPD, uma vez identificada a infração da empresa, se volta contra ela. A omissão na comunicação de incidentes de segurança evidencia uma negligência significativa por parte das organizações, já que a transparência é um princípio fundamental previsto pela LGPD;

2. A falta de implementação de medidas adequadas de segurança: medida básica para qualquer empresa que pretenda ter um programa mínimo de governança em privacidade é revisar e elevar seus controles de maturidade para manter as medidas de segurança adequadas. A falta de medidas de segurança apropriadas coloca em risco a confidencialidade, integridade e disponibilidade dos dados pessoais, expondo os titulares a potenciais danos e violações de privacidade; e

3. O não cumprimento das determinações da ANPD: a comunicação com a ANPD não é medida voluntária, devendo a empresa empreender todos os esforços para responder adequadamente à ANPD. O descumprimento das determinações da ANPD demonstra desrespeito às autoridades reguladoras e às normas estabelecidas, minando a credibilidade do sistema de proteção de dados como um todo.

Diante desses aspectos, é imprescindível que as empresas adotem uma postura proativa em relação à proteção de dados pessoais, investindo em medidas de segurança robustas, implementando práticas de comunicação transparentes e atendendo às exigências regulatórias. 

Apenas dessa forma será possível garantir uma integral conformidade com a LGPD e promover uma cultura de respeito à privacidade, protegendo efetivamente os direitos dos titulares de dados nos ambientes corporativos e organizacionais.

Para mais atualizações completas sobre o mundo jurídico, clique aqui e inscreva-se na nossa newsletter!

Conte com o auxílio da equipe especializada em LGPD do PK Advogados para manter sua empresa em conformidade.