O que leva uma empresa a ser processada pela ANPD?

Lucélia Marcondes

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, no dia 23 de março, a lista das oito primeiras instituições contra as quais foram instaurados processos administrativos sancionadores.

Os processos foram estabelecidos para investigar condutas que afrontaram as regras de proteção de dados, dispostas na LGPD. A ausência de medidas de segurança (21% do total), o não atendimento a requisições da Autoridade (21%) e a não comunicação de incidente de segurança ao titular dos dados (16%) formam a maior parte das infrações. Ausência do encarregado de dados pessoais, falta de comunicação de incidente de segurança à ANPD, ausência de comprovação de hipótese legal e de registro de operações de tratamento, não envio de relatório de impacto de proteção de dados e não atendimento a determinações da Autoridade completam a lista com porcentuais menores.

A previsão da adoção de medidas de segurança, cuja não observância se revelou um dos maiores motivos de instauração de processo sancionador até o momento, consta no artigo 46 e seguintes da LGPD, dispondo que é dever dos agentes de tratamento, operador e controlador de dados, tomar providências de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Em evento realizado pela Fiesp, Miriam Wimmer, Diretora da ANPD, destacou que não existe blindagem digital, portanto, incidentes podem ocorrer e que isso por si só não gera sanção, pois não é um descumprimento da lei. Assim, o que a Autoridade irá analisar serão as medidas preventivas de segurança cibernéticas adotadas antes e após o problema, sendo que as tratativas de mitigação resultarão em condutas proativas e demonstração de boa-fé por parte do agente de tratamento.

Ao seu turno, Fabrício Guimarães, Coordenador-Geral de Fiscalização da ANPD, informou que a existência de um processo administrativo sancionador não significa condenação ou pré-condenação, de modo que a divulgação das demandas, pela Autoridade, trata-se de mero cumprimento à Lei de Acesso à Informação.

Ainda que a norma preveja a aplicação de multa de até R$ 50 mil, a Autoridade atua a partir de uma abordagem responsiva, possibilitando às empresas se adequarem à legislação, uma vez que levar o regulado à conformidade é um ato efetivo e imediato ao titular dos dados, atingindo, desse modo, o objetivo da norma em proteger os direitos fundamentais da pessoa natural, afirma Guimarães.

Partindo de uma visão mais educativa, Guimarães explica que a aplicação de uma sanção administrativa é considerada uma derrota nesse processo e que as condutas só chegam à apreciação da autoridade após o titular já ter buscado seus direitos junto ao controlador e não obtido resposta.

Nesse sentido, além das medidas necessárias à segurança dos dados, é importante que o controlador mantenha ativo, e rotineiramente verificado, o endereço de correio eletrônico do encarregado de proteção de dados, que deve ser divulgado publicamente, pois este é o meio de comunicação entre os titulares, a ANPD e o controlador. Atenta-se para o fato de que a manutenção desse canal é uma obrigação legalmente imposta ao agente de tratamento, mesmo para aqueles dispensados da nomeação do DPO, nos termos do regulamento CD/ANPD nº2 de 2022. Ademais, eventual requerimento da pessoa natural deve ser respondido dentro dos prazos estabelecidos pela LGPD e daqueles dispostos no regulamento destinado aos agentes de pequeno porte.

Portanto, o que leva a organização a ser processada pela Autoridade Nacional de Proteção de Dados é sua total inércia na busca pela conformidade com as regras estampadas na LGPD e demais normas de privacidade e proteção de dados e, sobretudo, a indiferença no atendimento aos direitos do titular.

*Lucelia Marcondes é advogada no Rücker Curi Advocacia e Consultoria Jurídica