Após a publicação da Norma de Dosimetria, que define os critérios para a aplicação de sanções administrativas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em 23 de março, a lista dos primeiros processos administrativos sancionatórios iniciados pela sua Coordenação Geral de Fiscalização (CGF).
Todos os processos administrativos iniciados pela Autoridade estão na fase inicial de instrução para coleta de provas.
A lista divulgada pela ANPD contém processos iniciados de março a setembro de 2022 e indica o nome do investigado, suas supostas condutas infratoras e o número do processo aberto na ANPD, conforme detalhado abaixo:
Ministério da Saúde (entidade pública—órgão do Governo Federal): Processo Nº 00261.000456/2022–12 com o objetivo de investigar as condutas de não atender à solicitação da ANPD; falta de designação de um responsável pelos dados pessoais; falta de comunicação de incidentes de segurança.
Telekall (entidade privada): Processo Nº 261.000489/2022–62 com o objetivo de investigar as condutas: falta de indicação de uma base legal; falta de registro de operações de tratamento; não envio da Avaliação de Impacto na Proteção de Dados; falta de designação de um responsável pelos dados pessoais; não atendimento à solicitação da ANPD.
Instituto de Pesquisas Jardim Botânico do Rio de Janeiro (entidade pública—autarquia vinculada ao Ministério do Meio Ambiente): Processo Nº 00261.000574/2022–21 com o objetivo de investigar as condutas: não comunicação de incidentes de segurança; não atendimento à solicitação da ANPD.
Secretaria de Educação do Distrito Federal (entidade pública—vinculada ao Governo do Distrito Federal): Processo Nº 00261.001192/2022–14 com o objetivo de investigar as condutas: não atendimento à solicitação da ANPD.
Ministério da Saúde (entidade pública—órgão do Governo Federal): Processo Nº 00261.001882/2022–73 com o objetivo de investigar as condutas: falta de comunicação de incidentes de segurança aos titulares; falta de medidas de segurança.
Secretaria de Estado da Saúde de Santa Catarina (entidade pública—vinculada ao Governo do Estado de Santa Catarina): Processo Nº 00261.001886/2022–51 com o objetivo de investigar as condutas: falta de comunicação de incidentes de segurança aos titulares; falta de medidas de segurança; não atendimento às determinações da ANPD.
Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo—IAMSPE (entidade pública—autarquia vinculada ao Governo do Estado de São Paulo): Processo Nº 00261.001969/2022–41 com o objetivo de investigar as condutas: falta de comunicação de incidentes de segurança aos titulares; falta de medidas de segurança.
Secretaria de Desenvolvimento Social, Criança e Juventude—PE (entidade pública—vinculada ao Governo do Estado de Pernambuco): Processo Nº 00261.001963/2022–73 com o objetivo de investigar as condutas: ausência de comunicação aos titulares de incidente de segurança; ausência de medidas de segurança.
É importante observar que, dos oito processos listados pela Autoridade, sete foram iniciados contra órgãos públicos, com exceção da empresa de telefonia Telekall.
Além disso, os processos tratam das mesmas categorias de infrações, como a falta de nomeação de um responsável pela proteção de dados pessoais (data protection officer ou DPO, por suas siglas); a falta de comunicação de incidentes aos titulares; o descumprimento das solicitações da ANPD; a falta de medidas de segurança adequadas; e a falta de documentos de prestação de contas.
Portanto, observa-se que a atenção da Autoridade, neste primeiro momento, tem se concentrado nos programas de governança em proteção de dados das entidades investigadas, verificando violações não apenas às determinações da LGPD, mas também às demais regulamentações emitidas pela ANPD.
No entanto, os processos e informações sobre as sanções que serão aplicadas em cada caso só serão tornados públicos após a conclusão da investigação, respeitando os direitos de ampla defesa e do contraditório das entidades investigadas.
Outro ponto a ser destacado é que, de acordo com a orientação da procuradoria da ANPD, a sanção de publicidade, prevista na Lei Geral de Proteção de Dados Pessoais, não impede, nem se confunde com a divulgação dos dados e informações referentes aos processos administrativos sancionatórios em curso.
Dessa forma, a CGF e a Assessoria de Comunicação da ANPD afirmaram que criarão uma página no site da Autoridade para disponibilizar ao público as informações desses processos. No entanto, apesar de essa divulgação estar prevista na lei brasileira, é possível que os agentes de tratamento ou a própria Autoridade solicitem, de forma fundamentada, o sigilo das investigações à comissão de investigação.
Por último, após a instrução processual—fase em que se encontram os oito processos—haverá a manifestação da ANPD, entidade reguladora setorial (se for o caso) e do acusado, seguida da decisão de primeira instância que poderá ser objeto de recurso administrativo perante o Conselho Diretivo.
A publicação dessa primeira lista de processos é um marco no cenário de proteção de dados no Brasil, pois mostra claramente que a ANPD está investigando as violações à LGPD e que começará, em breve, a sancionar as empresas infratoras.
Portanto, é importante acompanhar o desenvolvimento desses processos para ver como, na prática, a Autoridade brasileira aplicará as penalidades, incluindo a definição do tipo de sanção e a dosimetria, especialmente quando o processo resultar em algum tipo de condenação financeira.
Publicado originalmente na data 05/04/2023.
Leia o artigo em:
Comments