A Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada em 2018 e entrou em vigor dois anos depois. A Lei modificou a forma como a privacidade e a segurança dos dados pessoais são tratados no Brasil. Dentre suas disposições, a lei previu a criação da autoridade competente para zelar por sua fiscalização e aplicação, a Autoridade Nacional de Proteção de Dados (ANPD).
As infrações à LGPD cometidas a partir de 1º de agosto de 2021 podem gerar penalidades. Dessa forma, cabe à ANPD fiscalizar o cumprimento da LGPD no sentido de aplicar as sanções administrativas a empresas e entes públicos que não cumprirem as normas vigentes. Também é competência da Autoridade a orientação e regulamentação sobre boas práticas no tratamento de dados pessoais.
Em comemoração aos seus 4 anos de atuação, a autoridade apresentou um “Balanço de 4 Anos”, com intuito de tornar público os resultados alcançados, destacando as iniciativas implementadas, os desafios enfrentados, as principais infrações identificadas e as ações de fiscalização realizadas pela Autoridade.
Ações de fiscalização
A ANPD fiscaliza o cumprimento da LGPD por meio de ações de monitoramento, orientação, prevenção e repressão. A Autoridade realiza o monitoramento para identificar práticas inadequadas e riscos potenciais no tratamento de dados pessoais. Ao identificar riscos e desvios, a ANPD poderá direcionar suas ações de forma mais eficaz, reforçando sua atuação preventiva por meio do acompanhamento dos requerimentos recebidos, que refletem as demandas da sociedade sobre proteção de dados.
Dentre os requerimentos recebidos, há dois principais:
- petições de titulares para reclamar sobre alguma violação de seus direitos; e
- denúncias, que podem ser feitas por qualquer pessoa, física ou jurídica, para informar à ANPD sobre possíveis infrações à LGPD cometidas por empresas ou entes públicos.
O ano de 2024 foi marcado pelo recorde de denúncias e petições, totalizando 517. O resultado foi alcançado devido à modernização dos serviços da ANPD, que facilitou o exercício dos direitos dos titulares de dados.
Comunicados de incidentes de segurança
Uma outra área de atuação da ANPD consiste na gestão dos Comunicados de Incidentes de Segurança. O Regulamento de Comunicação de Incidentes de Segurança (RCIS) detalha a obrigação dos controladores de informar a autoridade e aos titulares sobre incidentes que possam gerar riscos ou danos relevantes.
Até setembro de 2024, a ANPD recebeu 1.063 notificações de incidentes de segurança, sendo 250 somente em 2024. O mais recorrente foi o ransomware, que é o sequestro de dados. O aumento expressivo reflete a importância do fortalecimento das medidas de segurança pelos agentes de tratamento e a necessidade de uma proteção cada vez mais robusta dos dados pessoais.
A partir das informações obtidas por meio dos mecanismos de monitoramento e da comunicação de incidentes, a ANPD fiscaliza o cumprimento da LGPD. Ao identificar irregularidades, a Autoridade inicia processos de fiscalização. Desde sua criação, a ANPD já concluiu 20 processos de fiscalização e tem outros 17 em andamento.
Sanções
A ANPD realiza a aplicação de sanções por infrações à LGPD como uma das suas atividades mais relevantes. Entre as penalidades previstas, destacam-se a publicização da infração, advertências, bloqueio, eliminação de dados pessoais tratados irregularmente e a aplicação de multa administrativa, podendo chegar a R$ 50 milhões por infração.
No mais, a ANPD utiliza fatores para definir a gravidade e adequação das sanções, como a reincidência, nível de risco aos direitos fundamentais dos titulares, cooperação do agente para corrigir as irregularidades e impacto causado pela infração.
A Autoridade se comprometeu a intensificar sua atuação sancionadora nos próximos anos, o que reforça a necessidade urgente das organizações se adequarem à Lei Geral de Proteção de Dados. As empresas que investirem em segurança da informação e proteção de dados pessoais não apenas evitarão sanções, mas também poderão otimizar processos e fortalecer a confiança dos clientes.
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. |