Em 5 meses, ANPD não aplicou nenhuma sanção em incidentes envolvendo segurança de dados

Em 5 meses, ANPD não aplicou nenhuma sanção em incidentes envolvendo segurança de dados
Autoridade que fiscaliza o cumprimento da Lei Geral de Proteção de Dados ainda não regulamentou metodologia para aplicação das penas – o que deveria ter acontecido até agosto de 2021. Passados cinco meses, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não puniu empresas ou entidades que descumpriram a Lei Geral de Proteção de Dados (LGPD). Desde agosto, o órgão tem a prerrogativa de aplicar sanções a casos em que h√° manipulação indevida ou vazamentos de dados pessoais, por exemplo.

Segundo informações obtidas pelo g1 junto à ANPD, em 2021, 176 procedimentos foram comunicados ou instaurados para apurar "incidentes de segurança".

A autoridade nacional não informou se os casos evoluíram para processos administrativos, foram arquivados ou seguem em andamento. Segundo a ANPD, a lei prevê que os temas "tramitam protegidos por segredo comercial e industrial".

O termo "incidentes de segurança" designa qualquer atividade fora do esperado com dados pessoais – acesso não autorizado, acidental ou ilícito que “resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.

Na última quinta (3), mais um incidente de segurança foi comunicado à ANPD. O Banco Central informou que houve mais um vazamento de dados relacionados ao Pix. Desta vez, foram vazadas informações de clientes da Logbank.

Este é mais um episódio que integra a lista de incidentes de segurança concentrados pela ANPD. Além dele, outros dois vazamentos de dados vinculados ao Pix foram comunicados. Outro caso comunicado à autoridade e em apuração é o do possível vazamento de dados do Ministério da Saúde, que culminou na derrubada do ConecteSUS.

No último ano, o órgão também instaurou 27 procedimentos preparatórios de fiscalização. Os atos não estão ligados a incidentes de segurança. A maior parte dos processos, de acordo com a ANPD, encontra-se na fase de conclusão ou aguardando an√°lise pela Coordenação-Geral de Fiscalização.

Esse tipo de apuração serve para averiguações preliminares, “quando os indícios da pr√°tica de infração não forem suficientes para a instauração imediata de processo administrativo sancionador”.

Um dos procedimentos abertos para avaliação trata da mudança na política de privacidade do WhatsApp, ocorrida em 2021.

Nesse processo, por exemplo, a ANPD j√° apresentou recomendações técnicas para que a empresa respons√°vel pelo aplicativo assegure a proteção dos usu√°rios. A apuração ainda est√° em andamento e, caso constatada eventual infração à LGPD, o WhatsApp poder√° sofrer sanções por parte da autoridade.

LGPD: o que muda para os cidadãos? Veja perguntas e respostas

Por que você est√° recebendo avisos de políticas de privacidade em aplicativos e sites

VÍDEO: O que é a Lei Geral de Proteção de Dados (LGPD)?

Regulamentação pendente

Mesmo com o elevado número de incidentes comunicados e processos em andamento, a autoridade ainda não aplicou qualquer tipo de sanção. O principal motivo é que a ANPD ainda não regulamentou a metodologia para aplicar as punições.

Conforme a agenda regulatória da autoridade, restam quatro etapas. Entre elas est√° a realização de consulta e audiência pública sobre o texto. Outra razão elencada pela autoridade é a “oportunidade da ampla defesa” para os investigados.

A LGPD est√° em vigor desde 2020 e estabelece regras para a coleta e tratamento de dados pessoais dos brasileiros. A fiscalização do cumprimento da legislação cabe à ANPD.

Para que toda empresas e entidades pudessem se adaptar e a regulação de punições pudesse ocorrer, a aplicação de sanções só foi permitida a partir de 1¬ļ de agosto de 2021.

Detectado o descumprimento da lei de proteção de dados, a ANPD pode abrir um processo administrativo, que pode resultar nas seguintes sanções:

advertência;

publicidade da infração, que funciona como uma maneira de alertar a sociedade de que determinada empresa desrespeitou as regras;

multa simples de até 2% do faturamento da empresa e que pode chegar a, no m√°ximo, R$ 50 milhões por infração;

multa di√°ria;

bloqueio dos dados pessoais referentes a infração;

eliminação dos dados pessoais referentes a infração;

suspensão do exercício da atividade de tratamento dos dados pessoais referentes a infração pelo período m√°ximo de seis meses, que pode ser estendido por outros 6 meses;

proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Advogado e especialista em direito digital e crimes cibernéticos, Francisco Gomes Júnior avalia que o último ano da ANPD demonstra que a lei de proteção de dados est√° em uma “encruzilhada”.

“J√° passou o período em que a agência precisou se estruturar e j√° passou o período para que as empresas e órgãos se adaptassem com as novas sanções. A ANPD j√° deveria ter concluído a regulamentação”, diz.

Segundo o advogado, a expectativa era que a autoridade j√° fosse capaz de aplicar sanções em janeiro de 2022. O atraso na regulamentação e a falta de transparência na divulgação dos processos abertos minam, na avaliação de Gomes Júnior, a credibilidade do órgão.

“Do que adianta punir daqui a três anos um caso de vazamento e venda de dados? A gente tem cada hora uma notícia de vazamento. Esses primeiros seis meses são cruciais para que a ANPD aja. Neste ano, até o primeiro semestre, ela tem que dar resultados. Sem efetividade, a autoridade vai cair em descrédito. E não é só a agência quem perde com isso. A LGPD também perde”, acrescenta.

5 dicas de segurança para sua vida digital

Autonomia

Francisco Gomes Júnior e outros especialistas em direito digital ouvidos pelo g1 também questionam qual ser√° o tratamento conferido pela ANPD a órgãos ligados ao governo. A lei que instituiu a Autoridade Nacional de Proteção de Dados descreve o órgão como “integrante da Presidência da República”.

“Como que a autoridade vai se posicionar nas dezenas de casos ocorridos em ministérios e órgãos da administração federal sendo ligada à Presidência? A ANPD tem que mostrar que tem autonomia e independência, inclusive, para punir ministérios que violam os dados dos cidadãos. Caso isso não aconteça, vai ser uma lei que só pune empresas privadas”, afirma o advogado.

Segundo a ANPD, órgãos ligados ao governo não podem ser multados. A estes, segundo a ANPD, outras sanções poderão ser aplicadas: advertência, publicização da infração, bloqueio ou eliminação dos dados, suspensão parcial, total ou proibição total do funcionamento do banco ou da atividade de tratamento.

*estagi√°rio sob supervisão de Fausto Siqueira
Acompanhantes Goiania