No dia 31 de maio de 2023, a Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou a lista de 16 (dezesseis) processos de fiscalização que estão em andamento na Autoridade. Referida lista abrange 27 (vinte e sete) instituições1.
O objetivo da instauração destes processos é investigar se determinadas instituições estão em conformidade com as diretrizes e com os princípios da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”) e se garantem a tutela do direito fundamental à proteção de dados pessoais.
Além disso, em alguns destes processos a ANPD traz temas mais específicos de investigação, quais sejam, a conformidade do compartilhamento de dados pessoais com terceiros e do tratamento de dados pessoais de crianças e de adolescentes2.
A realização dos processos de fiscalização faz parte das funções específicas da ANPD, previstas no art. 55-J da LGPD3.
Durante os processos de fiscalização será dada a oportunidade para a parte investigada exercer seu direito de defesa (conforme previsto no §1º do art. 524 e no inc. IV do art. 55-J). Além disso, a Autoridade poderá agendar auditorias, a fim de apurar como está sendo o tratamento de dados pessoais (inc. XVI do art. 55-J).
Caso, no âmbito das referidas fiscalizações, a Autoridade verifique que determinada instituição esteja descumprindo a LGPD, a ANPD poderá aplicar as sanções administrativas previstas no art. 52 da LGPD5, como, por exemplo, advertência, multa, publicização da infração, bloqueio ou eliminação dos dados pessoais aos quais a infração se refere, ou, se a infração for grave, a suspensão ou proibição do exercício de atividades relacionadas a tratamento de dados.
No mais, dependendo da gravidade e da natureza da infração, bem como da conduta do infrator, a ANPD poderá propor medidas preventivas e de boas práticas para que o agente de tratamento de dados pessoais se adeque à LGPD.
Em síntese, nota-se que a ANPD tem desprendido cada vez mais esforços com o intuito de promover o efetivo cumprimento da LGPD.
A divulgação dessa primeira lista de processos de fiscalização é fundamental para proporcionar mais transparência aos cidadãos e às empresas a respeito de como a Autoridade tem atuado. Além disso, certamente, os resultados destes processos servirão como parâmetro para orientar a decisão de futuros casos submetidos à fiscalização que envolvam a matéria de proteção de dados pessoais. Por estas razões, é fundamental acompanhar de perto o andamento destes processos.
Além disso, é de suma importância que os agentes de tratamento de dados pessoais adotem regras de boas práticas e de governança, a fim de estar em conformidade com a LGPD e, assim, se prevenir de qualquer tipo de investigação.
Frente a este contexto de fiscalização cada vez maior por parte da ANPD com o intuito de investigar a adequação das empresas às diretrizes da LGPD, questiona-se: você está preparado para ser fiscalizado?
Fontes:
ANPD. Processos de Fiscalização. Disponível em: < https://www.gov.br/anpd/pt-br/composicao-1/coordenacao-geral-de-fiscalizacao/processos-de-fiscalizacao >. Acesso em: 01/06/23.
BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 01/06/23.
1Estão sendo investigadas as seguintes instituições: Bytedance Brasil Tecnologia Ltda. (TikTok); Serviço Federal de Processamento de Dados – Serpro; Ministério da Justiça e Segurança Pública; Unitfour Tecnologia da Informação Ltda.; Zappo Tecnologia da Informação e Publicidade Ltda.-ME (Contact Pró); Telegram Messenger Inc.; Claro S.A.; Serasa S.A.; Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP); WhatsApp LLC.; Instituto Nacional do Seguro Social (INSS); Dataprev; Governo do Estado do Paraná, Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar); Algar Soluções em TIC S.A. (Algar Telecom); Secretaria Municipal da Segurança Cidadã (Sesec) do Município de Fortaleza/CE; Ministério da Gestão e Inovação – Secretaria de Governo Digital; Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Estude em Casa, Explicaê, Manga High e Stoodi; RaiaDrogasil S.A., Stix Fidelidade e Inteligência S.A. e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias).
2Esse escopo foi informado pela própria ANPD na lista divulgada, tendo em vista que o inteiro teor destes processos não é disponibilizado para o público.
3 Art. 55-J. Compete à ANPD:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII – elaborar relatórios de gestão anuais acerca de suas atividades;
XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
XV – Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942
XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX – Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
4Art. 52 § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios (…).
5Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – Advertência, com indicação de prazo para adoção de medidas corretivas;
II – Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – Eliminação dos dados pessoais a que se refere a infração;
(…) VETADOS
X – Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
