Consagre ao Senhor
tudo o que você faz,
e os seus planos serão bem-sucedidos.

Provérbios 16:3

Em 5 meses, ANPD não aplicou nenhuma sanção em incidentes envolvendo segurança de dados

Autoridade que fiscaliza o cumprimento da Lei Geral de Proteção de Dados ainda não regulamentou metodologia para aplicação das penas – o que deveria ter acontecido até agosto de 2021

Passados cinco meses, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não puniu empresas ou entidades que descumpriram a Lei Geral de Proteção de Dados (LGPD). Desde agosto, o órgão tem a prerrogativa de aplicar sanções a casos em que há manipulação indevida ou vazamentos de dados pessoais, por exemplo.

Segundo informações obtidas pelo g1 junto à ANPD, em 2021, 176 procedimentos foram comunicados ou instaurados para apurar "incidentes de segurança".

A autoridade nacional não informou se os casos evoluíram para processos administrativos, foram arquivados ou seguem em andamento. Segundo a ANPD, a lei prevê que os temas "tramitam protegidos por segredo comercial e industrial".

O termo "incidentes de segurança" designa qualquer atividade fora do esperado com dados pessoais – acesso não autorizado, acidental ou ilícito que “resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.

Na última quinta (3), mais um incidente de segurança foi comunicado à ANPD. O Banco Central informou que houve mais um vazamento de dados relacionados ao Pix. Desta vez, foram vazadas informações de clientes da Logbank.

Este é mais um episódio que integra a lista de incidentes de segurança concentrados pela ANPD. Além dele, outros dois vazamentos de dados vinculados ao Pix foram comunicados. Outro caso comunicado à autoridade e em apuração é o do possível vazamento de dados do Ministério da Saúde, que culminou na derrubada do ConecteSUS.

No último ano, o órgão também instaurou 27 procedimentos preparatórios de fiscalização. Os atos não estão ligados a incidentes de segurança. A maior parte dos processos, de acordo com a ANPD, encontra-se na fase de conclusão ou aguardando análise pela Coordenação-Geral de Fiscalização.

Esse tipo de apuração serve para averiguações preliminares, “quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador”.

Um dos procedimentos abertos para avaliação trata da mudança na política de privacidade do WhatsApp, ocorrida em 2021.

Nesse processo, por exemplo, a ANPD já apresentou recomendações técnicas para que a empresa responsável pelo aplicativo assegure a proteção dos usuários. A apuração ainda está em andamento e, caso constatada eventual infração à LGPD, o WhatsApp poderá sofrer sanções por parte da autoridade.

  • LGPD: o que muda para os cidadãos? Veja perguntas e respostas
  • Por que você está recebendo avisos de políticas de privacidade em aplicativos e sites

Regulamentação pendente

Mesmo com o elevado número de incidentes comunicados e processos em andamento, a autoridade ainda não aplicou qualquer tipo de sanção. O principal motivo é que a ANPD ainda não regulamentou a metodologia para aplicar as punições.

Conforme a agenda regulatória da autoridade, restam quatro etapas. Entre elas está a realização de consulta e audiência pública sobre o texto. Outra razão elencada pela autoridade é a “oportunidade da ampla defesa” para os investigados.

A LGPD está em vigor desde 2020 e estabelece regras para a coleta e tratamento de dados pessoais dos brasileiros. A fiscalização do cumprimento da legislação cabe à ANPD.

Para que toda empresas e entidades pudessem se adaptar e a regulação de punições pudesse ocorrer, a aplicação de sanções só foi permitida a partir de 1º de agosto de 2021.

Detectado o descumprimento da lei de proteção de dados, a ANPD pode abrir um processo administrativo, que pode resultar nas seguintes sanções:

  • advertência;
  • publicidade da infração, que funciona como uma maneira de alertar a sociedade de que determinada empresa desrespeitou as regras;
  • multa simples de até 2% do faturamento da empresa e que pode chegar a, no máximo, R$ 50 milhões por infração;
  • multa diária;
  • bloqueio dos dados pessoais referentes a infração;
  • eliminação dos dados pessoais referentes a infração;
  • suspensão do exercício da atividade de tratamento dos dados pessoais referentes a infração pelo período máximo de seis meses, que pode ser estendido por outros 6 meses;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Advogado e especialista em direito digital e crimes cibernéticos, Francisco Gomes Júnior avalia que o último ano da ANPD demonstra que a lei de proteção de dados está em uma “encruzilhada”.

“Já passou o período em que a agência precisou se estruturar e já passou o período para que as empresas e órgãos se adaptassem com as novas sanções. A ANPD já deveria ter concluído a regulamentação”, diz.

Segundo o advogado, a expectativa era que a autoridade já fosse capaz de aplicar sanções em janeiro de 2022. O atraso na regulamentação e a falta de transparência na divulgação dos processos abertos minam, na avaliação de Gomes Júnior, a credibilidade do órgão.

“Do que adianta punir daqui a três anos um caso de vazamento e venda de dados? A gente tem cada hora uma notícia de vazamento. Esses primeiros seis meses são cruciais para que a ANPD aja. Neste ano, até o primeiro semestre, ela tem que dar resultados. Sem efetividade, a autoridade vai cair em descrédito. E não é só a agência quem perde com isso. A LGPD também perde”, acrescenta.

Autonomia

Francisco Gomes Júnior e outros especialistas em direito digital ouvidos pelo g1 também questionam qual será o tratamento conferido pela ANPD a órgãos ligados ao governo. A lei que instituiu a Autoridade Nacional de Proteção de Dados descreve o órgão como “integrante da Presidência da República”.

“Como que a autoridade vai se posicionar nas dezenas de casos ocorridos em ministérios e órgãos da administração federal sendo ligada à Presidência? A ANPD tem que mostrar que tem autonomia e independência, inclusive, para punir ministérios que violam os dados dos cidadãos. Caso isso não aconteça, vai ser uma lei que só pune empresas privadas”, afirma o advogado.

Segundo a ANPD, órgãos ligados ao governo não podem ser multados. A estes, segundo a ANPD, outras sanções poderão ser aplicadas: advertência, publicização da infração, bloqueio ou eliminação dos dados, suspensão parcial, total ou proibição total do funcionamento do banco ou da atividade de tratamento.