Por Rafael Möller
Até o momento (agosto de 2024) a Autoridade Nacional de Proteção de Dados (ANPD) já impôs 6 (seis) sanções administrativas, sendo elas 5 (cinco) ao Poder Público e somente 1 (uma) delas contra a iniciativa privada, em
decorrência de violações da Lei Geral de Proteção de Dados (LGPD). 1 Ainda assim, ao analisar as sanções impostas pela ANPD, é possível tirar algumas importantes lições, as quais são capazes de auxiliar as empresas nos
processos relacionados ao tratamento de dados pessoais.
Em julho de 2023 a ANPD aplicou à Telekall Infoservice, uma microempresa de comunicações, a primeira sanção pecuniária por infrações aos artigos 7º e 41 da LGPD. A empresa foi multada em R$ 14.400,00 por ofertar listagens de contatos de WhatsApp de eleitores para fins de campanha política, sem respaldo legal e por não ter nomeado um encarregado de proteção de dados.
Assim, a primeira lição que é possível tirar é a de que, ao contrário do que grande parte dos especialistas haviam imaginado, não só os grandes players do mercado irão sofrer as consequências previstas na LGPD, mas também microempresas e empresários individuais.
Analisando este mesmo caso, é possível tirar a segunda lição: a ANPD deixou de descontar o valor dos tributos nas duas sanções de multa aplicadas.
Contudo, o artigo 52, inciso II da LGPD diz que a multa deve ser aplicada sobre o faturamento do infrator, excluídos os tributos aplicáveis, sendo irrelevante, portanto, se foram ou não pagos até o momento da aplicação da sanção. Caso contrário, o agente de tratamento seria sancionado duas vezes, na medida em que teria que pagar a multa com base no valor dos tributos que ele já havia recolhido anteriormente. Dentro dessa perspectiva e considerando que a ANPD não irá descontar os tributos do cálculo da sanção espontaneamente, cabe ao agente de tratamento mostrar quais os tributos aplicáveis, sob pena de ser prejudicado com o pagamento de imposto em duplicidade.
A segunda sanção aplicada pela ANPD foi em outubro de 2023 e trata-se de uma advertência ao Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) decorrente da ausência de comunicação de um incidente de segurança que afetou os dados pessoais dos usuários. Apesar da comunicação em seu site pelo IAMSPE, o conteúdo apresentado foi considerado insuficiente pela ANPD. Portanto, ao analisar o caso, é possível tirar a terceira lição: quem comunica aos titulares a ocorrência de incidente de segurança sem observar os requisitos previstos no regulamento de comunicação de segurança da ANPD, precisa comunicar novamente.
O processo sancionador realizado contra o IAMSPE ainda traz a quarta lição. O IAMSPE alegou que não sabe e não tem como descobrir quem foi afetado pelo vazamento de dados ou a proporção em que a vulnerabilidade foi explorada, decorrente da ausência de manutenção dos logs, pois sem log é impossível identificar o que aconteceu, como aconteceu, quais dados foram e por quem foram acessados, o que constitui falha no dever de proteção de dados. Portanto, a quarta lição que é possível tirar desse caso é a de que toda a organização empresarial deve ter uma infraestrutura de segurança da informação com logs para identificar as origens de eventuais incidentes de
segurança.
A quinta lição que é possível tirar a partir das sanções aplicadas pela ANPD até o momento é extraída do procedimento instaurado contra o Jardim Botânico do Rio de Janeiro. Neste caso, foi instaurado o processo de fiscalização sobre um suposto vazamento de dados por parte do Jardim Botânico. Contudo, considerando que o investigado pelo vazamento dos dados pessoais não se manifestou no processo investigatório mesmo após o envio das comunicações pela ANPD, a autoridade decidiu instaurar um processo sancionador por não comunicação do incidente de segurança envolvendo dados pessoais. Em sua defesa, o Jardim Botânico alegou não ter recebido as comunicações anteriores para se defender e participar do processo, o que foi verificado e posteriormente confirmado pela autoridade sancionadora. Dessa forma, a quinta lição nos mostra que quando a sua organização estiver enfrentando um processo administrativo instaurado pela ANPD, os documentos que serviram para instauração do processo devem ser analisados com muita atenção, pois eventualmente pode ser verificado algum vício formal que seja relevante para a defesa.
Em 18 de outubro de 2023 foi publicada a sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC). O agente tratador identificou um incidente de segurança e comunicou a ANPD do incidente que envolveu a exfiltração de 4 GB de dados sensíveis, afetando mais de 300 mil titulares de dados pessoais. Apesar da comunicação à ANPD, a secretaria não comunicou os titulares dos dados vazados, pois a identificação dos titulares afetados demandava muito tempo e trabalho. A ANPD não deu razão ao argumento e impôs 4 (quarto) sanções e uma medida corretiva visando o envio de comunicação individualizada aos titulares afetados, com apresentação de lista com nome e contato para avaliação da ANPD. Dessa medida de correção, extrai-se a sexta lição: É obrigação do agente de tratamento adotar todas medidas possíveis e esforços necessários para identificar quais pessoas foram afetadas e realizar uma comunicação individual.
Por infrações à LGPD, a ANPD aplicou sanções à Secretaria de Educação do Distrito Federal (SEE-DF). No caso, a ANPD verificou que a secretaria estava expondo dados cadastrais e de saúde de mais de 3.000 (três mil) pessoas cadastradas no Programa Educação Precoce, por falha de segurança no formulário de inscrição do programa. Apesar da tentativa de correção do problema, os fiscalizadores do órgão sancionador consideraram insuficientes as medidas adotadas e determinaram que o órgão comunicasse o incidente de segurança à ANPD e aos titulares dos dados pessoais. A secretaria formalizou à ANPD, contudo, disse não ter informado aos titulares dos dados vazados por entender que não havia certeza de que o incidente não teria gerado prejuízos aos titulares. Contudo, a sétima lição nos mostra que a ideia de riscos ou danos não quer dizer que devem ser materializados, mas sim o potencial risco que a infração pode acarretar.
Deste mesmo caso é possível extrair a oitava lição: A secretaria utilizou o google forms para coletar dados e informações de alunos e pais de alunos. Contudo, a SEEDF nunca treinou os servidores sobre como usar o google forms que utilizaram a plataforma de maneira indevida, ou seja, os servidores não foram treinados e capacitados para operação de dados sensíveis.
Portanto, a oitava lição é de que somente o investimento em programas e softwares modernos não são suficientes pois os seus colaboradores devem ser treinados para operar os dados pessoais, sob pena de violação da legislação.
O Instituto Nacional do Seguro Social (INSS) sofreu sanção aplicada pela ANPD por não comunicar a ocorrência de incidente de segurança com dados pessoais de titulares. A sanção aplicada foi a da publicização da sanção, que é aquela que o órgão sancionador dita o texto que será utilizado para comunicar aos titulares. No caso o texto redigido pela ANPD foi o seguinte: "O INSS, por ter sido condenado pela ANPD, por violação à LGPD, comunica que..." e deveria ser publicado em seu site principal por 90 dias. Portanto, a nona lição nos mostra que é recomendado comunicar um incidente de segurança do que ficar à mercê de uma redação imposta pela ANPD, pois uma mensagem como essa pode acabar com a reputação de uma empresa.
No processo sancionatório realizado contra a Secretaria de Desenvolvimento Social, Criança e Juventude - PE, é possível perceber que todos os sistemas de informação estão sujeitos a incidentes de segurança, por mais protegido que seja. Dessa maneira, a décima lição é a de que um ataque cibernético ou incidente de segurança não necessariamente significam uma violação à LGPD, isso porque existem casos que não podem ser evitados mesmo o agente de tratamento realizando procedimentos estruturados, treinamento com seus colaboradores e realizando as comunicações quando necessário.
As sanções aplicadas pela ANPD até o momento revelam importantes lições para os empresários e gestores sobre a conformidade do tratamento de dados pessoais da sua empresa com a LGPD, sendo de fundamental relevância a adoção de medidas preventivas voltadas às boas práticas, destacando-se, por exemplo, investimentos em segurança da informação e novas tecnologias, aprimoramento de processos e capacitação constante dos colaboradores.
Fonte da imagem: https://blog.dponet.com.br/anpd-conheca-o-orgao-fiscalizador-da-lgpd/