Retrospectiva LGPD. Penalidades Aplicadas em 2023

13/12/2023 mindsecblog Artigos, LGPD & PRIVACY, Notícias 5

Retrospectiva LGPD. Penalidades Aplicadas em 2023. O ano de 2023 marcou o início da atuação da Autoridade Nacional de Proteção de Dados Pessoais – ANPD em relação à aplicação das penalidades previstas na Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018 (“LGPD”).

A LGPD vem vigorando em sua integralidade desde agosto de 2021, porém as penalidades só passaram ser aplicadas após a regulamentação dos dispositivos legais que tratam dos procedimentos fiscalizatórios e sancionatórios. Ou seja, para que as penalidades pudessem ser aplicadas, era necessário que antes, a ANPD definisse os procedimentos para fiscalização e as métricas para aplicação das penalidades, de acordo com o nível de gravidade.

A inauguração do processo sancionatório por parte da ANPD se deu no dia 06 de julho de 2023, quando uma empresa privada de pequeno porte – Telekall Inforservice – foi autuada por ter descumprido a LGPD sob vários aspectos, incluindo a falta de embasamento legal para as atividades envolvendo dados pessoais, a falta de apresentação de documento obrigatórios previstos na legislação, incluindo o relatório de operações de tratamento de dados, bem como o relatório de impacto relativo aos tratamentos de alto risco à garantia dos princípios previstos na LGPD e às liberdades civis e aos direitos fundamentais dos titulares de dados. Além disso, a empresa não identificou o Encarregado de Proteção de Dados (DPO), cuja nomeação é obrigatória a depender do tipo de atividades desenvolvidas pela empresa, envolvendo dados pessoais. As penalidades incluíram a aplicação de multas e advertência.

À época da penalização acima destacada, o que mais chamou a atenção foi o fato de que não importaria o porte ou relevância da empresa no mercado, pois de qualquer forma, o descumprimento da LGPD sujeitará o infrator a denúncias por titulares, bem como à fiscalização e penalização pela ANPD, sem prejuízo de eventuais indenizações por perdas e danos causados aos titulares.

O processo fiscalizatório em relação à Telekall Infoservice teve origem a partir de uma denúncia de que tal empresa estaria comercializando dados contendo contatos de eleitores, para fins de disseminação de material de campanha eleitoral por meio do WhatsApp.

Já na segunda penalização, ocorrida no dia 06 de outubro, o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) foi autuado por falta de comunicação aos titulares sobre a ocorrência de um incidente de segurança que teria afetado sua base de dados pessoais, bem como em razão da falta de adoção de mecanismos de proteção dos referidos dados, permitindo a exposição de milhões de informações de servidores públicos do estado de São Paulo e de seus dependentes. Neste caso, as penalidades aplicadas envolveram advertências.

Ainda no mês de outubro, a ANPD, por sua Coordenação de Fiscalização, recomendou à Coordenação Geral de Fiscalização a sanção da Secretaria de Saúde do Estado de Santa Catarina (SES-SC), em razão da ausência de mecanismos e sistemas seguros para armazenamento de dados, bem como de clareza na comunicação aos titulares sobre a ocorrência de incidentes de segurança, além da falta de apresentação de documentos obrigatórios nos termos da LGPD, tais como o relatório de impacto à proteção de dados pessoais e outras informações solicitadas à época pela autoridade, em relação aos tratamentos dos referidos dados. A recomendação é no sentido de que a Secretaria de Saúde seja penalizada com advertência para cada uma das infrações, consideradas de natureza grave.

As atividades fiscalizatórias e sancionatórias havidas no ano de 2023 sinalizam o que podemos esperar da ANPD para o ano de 2024, tanto em relação às empresas do setor público como do privado, independentemente do seu porte, sobretudo em razão do número de processos fiscalizatórios que já se encontram em andamento perante a autoridade, além do crescente número de denúncias de titulares que diariamente são processados pelo referido órgão.

Conforme Relatório de Ciclo de Monitoramento (RCM) versão 1.0 publicado pela ANPD no último dia 08 de dezembro de 2023, referente às atividades de fiscalização no 1º semestre de 2023, bem como as demais atividades desenvolvidas pela ANPD, em relação a requerimentos e comunicados de incidentes no período, a ANPD recebeu mais de 300 denúncias de violação à LGPD por parte de titulares, principalmente em razão de exposição de dados pessoais e/ou sensíveis. Estes números demonstram que os titulares estão cada vez mais se informando sobre os seus direitos à privacidade e proteção de dados e tomando consciência sobre os meios legais para satisfazer tais direitos.

Em relação às empresas e órgãos acima mencionados, uma mínima adequação à LGPD, incluindo o desenvolvimento de um programa de governança contendo políticas de tratamento de dados pessoais, relatórios de operação de tratamento e de impacto de proteção, conforme previsto na legislação, além da indicação do DPO nas situações determinadas pela lei, poderiam ter evitado as penalidades que foram aplicadas.

Nem sem

pre as multas e/ou outras penalidades que venham a ser aplicadas pela ANPD representarão o maior prejuízo financeiro a ser enfrentado pela empresa, haja vista que uma eventual denúncia por descumprimento da legislação ou a exposição de dados por ausência de mecanismos de proteção adequados, poderão ser muito mais prejudiciais à reputação de uma empresa.

Este conteúdo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria, recomendação ou orientação técnica e/ou legal para casos concretos a respeito dos temas aqui abordados.

Por: Cecília Freitas – Advogada especialista em Privacidade de Dados