ANPD Aplica Segunda Sanção por Violações à LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) aplicou, em 06.10.2023, a sua segunda sanção por violações à Lei Geral de Proteção de Dados Pessoais (LGPD). A decisão da Coordenação-Geral de Fiscalização da autoridade foi exarada nos autos do processo administrativo sancionador nº 00261.001969/2022-41, instaurado em face do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), referente à suposta ausência de comunicação de incidente aos titulares cujos dados pessoais teriam sido objeto de incidente de segurança e de medidas de segurança. A sanção consiste em advertências e imposição das medidas corretivas abaixo indicadas: O IAMSPE poderá apresentar recurso contra a referida decisão em até 10 dias úteis de sua intimação. Na mesma data da decisão acima, a ANPD publicou decisão de arquivamento do processo sancionador instaurado em face do Instituto de Pesquisas Jardim Botânico do Rio de Janeiro (processo nº 00261.000574/2022-21). O objeto deste processo era investigar a não comunicação de incidente de segurança pela organização, contudo, constatou-se que o incidente não envolveu dados pessoais e, portanto, determinou-se o seu arquivamento. As decisões acima foram publicadas após uma agenda movimentada da ANPD nos últimos meses, com a participação de seus membros e diretores em eventos do ecossistema e a abertura de consultas públicas para promoção de debate conjunto com a sociedade acerca dos seguintes temas: As consultas públicas da ANPD são acessíveis, no período em aberto, por meio da Plataforma Participa Mais Brasil.
ANPD aplica primeira sanção por violação à LGPD
Foi publicada em 06.07.2023, no Diário Oficial da União, a primeira sanção administrativa aplicada pela Autoridade Nacional de Proteção de Dados (“ANPD”) em decorrência de supostas violações à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – “LGPD”) e ao Regulamento de Fiscalização correlato. A aplicação se deu nos autos do processo administrativo sancionador nº 00261.000489/2022-62, instaurado com o objetivo de investigar infrações e aplicar punições em face de Telekall Infoservice, empresa de teleatendimento sediada no Espírito Santo. A decisão foi exarada pelo Coordenador-Geral de Fiscalização da ANPD, Fabrício Lopes, e concluiu por aplicar advertência e multas pela constatação de violação a três dispositivos legais, a saber: A empresa terá o prazo de 10 (dez dias) úteis para apresentar eventual recurso e a multa deverá ser paga em até 20 (vinte) dias úteis, contados a partir da ciência da decisão. Caso a Telekall decida renunciar expressamente ao direito de recorrer da decisão, haverá a redução de 25% no valor da multa aplicada. Vale mencionar que a Telekall é uma microempresa e até o momento a ANPD não deu publicidade aos autos do processo, tampouco ao respectivo relatório de instrução.
ANPD sugere modelo de registro de atividades de tratamento de dados para Agentes de Tratamento de Pequeno Porte (ATPP)
Na última semana, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou o modelo de planilha de registro de atividades de tratamento de dados pessoais sugerido aos Agentes de Tratamento de Pequeno Porte (“ATPPs”) para cumprimento ao artigo 37 da Lei Geral de Proteção de Dados Pessoais (“LGPD”). Inicialmente, relembre-se que a definição de ATPPs encontra-se na Resolução CD/ANPD nº 2/2022 (“Resolução”), que permite medidas de adequação flexibilizadas a: (i) pessoas jurídicas de direito privado, inclusive sem fins lucrativos, na categoria de microempresas, empresas de pequeno porte ou startups; e (ii) pessoas naturais e entes privados despersonalizados que realizem o tratamento de dados pessoais. A referida Resolução previa, como explicamos neste Alert anterior, a possibilidade de que os ATPPs realizassem um mapeamento de dados com um registro das atividades de tratamento mais simplificado, flexibilizando assim a regra do art. 37 da LGPD. Por força do parágrafo único do art. 9º da Resolução, a ANPD finalmente publicou, em 14.06.2023, o modelo de registro simplificado sugerido aos ATPPs, disponibilizado em formatos Excel e pdf. no próprio site da ANPD. O registro para ATPPs conta com oito campos a serem preenchidos pela organização beneficiada, de modo que cada atividade de tratamento de dados mapeada deverá detalhar as seguintes informações: Apesar de consistir em um registro dito simplificado, faz-se necessário mapear corretamente as atividades de tratamento de dados pessoais realizadas pela organização e indicar tecnicamente a base legal mais apropriada para cada finalidade atribuída aos fluxos mapeados.
TRF-2 garante que investimentos em adequação à LGPD geram créditos de PIS/COFINS
“Por se tratar de investimento obrigatório, imprescindível ao alcance dos objetivos sociais da impetrante, e medida de segurança necessária à proteção dos dados dos seus clientes e de terceiros, inclusive passível de sanção pelo descumprimento da normatividade imposta, as despesas com as adequações previstas na LGPD merecem ser reconhecidas como insumos para fins de aproveitamento no sistema da não-cumulatividade de PIS e COFINS.” (A.C. nº 5112573-86.2021.4.02.5101/RJ) A frase acima sintetiza o inovador julgado da 4ª Turma Especializada do Tribunal Regional da 2ª Região (TRF-2) ao autorizar, em votação unânime, que empresas apropriem créditos de PIS/COFINS sobre gastos realizados com medidas necessárias para a sua adequação à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, “LGPD”). O acórdão do TRF-2, de relatoria da Desembargadora Federal Carmen Silvia Lima de Arruda, consiste em importante precedente às empresas que: i) investem ou investiram em medidas de adequação à LGPD; e ii) estejam aptas a comprovar que tais gastos são legalmente impostos, além de indispensáveis ao pleno desenvolvimento de suas atividades econômicas. Em seu voto, a Relatora menciona a aplicação do chamado “Teste de Subtração”, conceito cunhado pelo Superior Tribunal de Justiça para a qualificação, como insumos, de bens e serviços cuja subtração obsta a atividade da empresa, ou implica em substancial perda de qualidade do produto ou serviço daí resultantes” (Tema 779). No caso concreto, o contribuinte se dedica à prestação de serviços de pagamentos e produtos financeiros digitais, de modo que o investimento em medidas de segurança da informação e proteção de dados estaria diretamente relacionado à atividade-fim da empresa, por ser imprescindível e obrigatório ao alcance dos objetivos sociais, conforme a decisão. O entendimento acima abre margem para outras decisões no mesmo sentido, permitindo que empresas discutam a apropriação de créditos de PIS/COFINS a partir de investimentos em medidas de adequação à LGPD, caso estes sejam comprovadamente necessários à sua atividade-fim.
Publicado o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD
A Autoridade Nacional de Proteção de Dados (“ANPD”), por meio da Resolução CD/ANPD nº 4 (“Resolução”), publicada no Diário Oficial da União de 27.02.2023, expediu o seu Regulamento de Dosimetria e Aplicação de Sanções Administrativas (“Regulamento”). Tal Regulamento permite a aplicação das sanções administrativas, previstas no artigo 52 da LGPD, às organizações que descumprirem a referida lei ou os regulamentos da ANPD, uma vez que estabelece os aguardados parâmetros e critérios para tais sanções, e define formas e dosimetrias para o cálculo do valor-base das multas. Apesar de conter trechos discutíveis e outros controversos – que possivelmente fundamentarão recursos administrativos à ANPD e mandados de segurança ao Judiciário –, o Regulamento consolida a necessidade de adequação à LGPD para se prevenir sanções e evidenciar a conduta adotada pelo agente antes, durante e após a infração. A sanção poderá ser mais branda ou severa a depender da capacidade do agente em atestar sua conformidade e os atos adotados para remediação de danos ou correção da infração, conforme as circunstâncias atenuantes do Regulamento. Cite-se algumas das principais diretrizes trazidas pelo Regulamento: A classificação das infrações seguirá o nível de gravidade e a natureza do ocorrido, assim como os tipos de direitos pessoais afetados, variando entre os graus leve, médio e moderado. Consoante o artigo 8º, parágrafo 2º, do Regulamento, a infração será de classificação média se a atividade de tratamento impedir ou limitar significativamente os interesses e direitos fundamentais do titular, “assim como ocasionar danos materiais ou morais”. Trata-se de critério subjetivo e valioso para a defesa do agente, principalmente em casos de vazamentos de dados, pois caberia ao Judiciário constatar se houve danos morais e a quais titulares. A classificação alta de gravidade da infração – tampouco objetiva – ocorrerá se, além da presença dos indicadores de grau médio, um ou mais fatores elencados no parágrafo 3º do artigo 8º for observado, a saber: Há, ainda, disposições sobre as circunstâncias agravantes e atenuantes para a dosimetria do valor de multas, critérios para o seu pagamento e diretrizes sobre a aplicação de multas mais gravosas, como as de bloqueio e eliminação de dados ou de suspensão das atividades de tratamento. Um outro ponto crítico a se destacar no texto refere-se à exceção do artigo 27, que autoriza a ANPD a afastar a metodologia de dosimetria ou substituir a aplicação de sanção de multa por outra constante no Regulamento, se considerar a sanção desproporcional à gravidade da infração, ou seja, cria-se um cenário de possível insegurança jurídica quanto aos critérios dessas sanções. A publicação do Regulamento confere carta branca à ANPD para exercer efetivamente as suas funções fiscalizadora e sancionadora, asseguradas pelo artigo 55-J, da LGPD. Revisitar, ou mesmo desenvolver, um programa de governança em privacidade e proteção de dados pessoais , sem sombra de dúvida, será a chave para prevenção de infrações à LGPD e de incidentes de segurança, além de constituir um grande aliado (se bem estruturado) em processos administrativos perante a ANPD. Seja pelo amor ou pela dor, a LGPD veio para ficar. Clique aqui para acessar a íntegra do Regulamento de Dosimetria e Aplicação de Sanções Administrativas – Resolução CD/ANPD nº 4 .Clique aqui para baixar o nosso e-book com um panorama sobre as maiores multas aplicadas nacional e internacionalmente, por violações às leis de privacidade e proteção de dados.
E-book | Proteção de Dados: panorama sobre as sanções no mundo e previsão de multas da ANPD a partir de fevereiro
Clarissa Luz e colegas desenvolveram uma pesquisa sobre o panorama mundial da evolução das sanções já aplicadas por violações a direitos de privacidade e proteção de dados pessoais. Os resultados encontrados foram transformados em um e-book, no qual as autoras Daniela Machado, Míriam Ferreira e Clarissa Luz trouxeram também previsões sobre a atuação da ANPD a partir da aprovação do “Regulamento de Dosimetria e Aplicação de Sanções Administrativas”, prevista para o mês de fevereiro.Acesse o e-book e confira os insights das autoras: https://lnkd.in/daiJD-KY
Transformação da ANPD em autarquia federal e os impactos ao sistema brasileiro de proteção de dados
Em 18 de outubro de 2022, cerca de 04 meses após a sua edição, a Medida Provisória nº 1.124/2022 (“MP”), que transforma a Autoridade Nacional de Proteção de Dados (“ANPD”) em autarquia federal de natureza especial, foi aprovada pelo Senado Federal. O texto da MP, aprovado pelo Congresso Nacional sem qualquer emenda, segue agora para promulgação direta, representando uma vitória significativa para o Brasil em termos de consolidação de um sistema eficaz de proteção de dados. A existência da ANPD como órgão da administração pública federal e a sua posterior transformação em autarquia de natureza especial já estava prevista na redação original da LGPD. Todavia, havia uma grande incerteza quanto ao nível de independência técnica e orçamentária que a ANPD teria em relação à Presidência da República. A redação dada ao artigo 55-A da LGPD, por força da Medida Provisória, sanou as dúvidas quanto à autonomia da ANPD ao estabelecer a sua criação como autarquia de natureza especial, dotada de autonomia técnica e decisória e com patrimônio próprio. Trata-se de características imperativas para uma atuação independente e isonômica da ANPD no desempenho de suas atribuições de zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Dentre os impactos econômicos e políticos trazidos pela MP, destacamos o seguinte: A transformação da ANPD em autarquia autônoma representa benefícios internos para o país em termos de fortalecimento do nosso sistema regulatório de proteção de dados, além de vantagens transfronteiriças, de caráter econômico e político, ao contribuir para a facilitação do trânsito internacional de dados pessoais – condição sine qua non para a presença de empresas em um mercado altamente globalizado que vivemos hoje.
Cookies e Proteção de Dados Pessoais – Orientações da ANPD
Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou, em 18.10.2022, o seu primeiro Guia Orientativo sobre uso de cookies e proteção de dados pessoais. O material oferece informações a titulares de dados sobre o conceito e as categorias de cookies, além de apresentar diretrizes norteadoras a serem consideradas por agentes de tratamento ao utilizar a tecnologia em seus sites e plataformas. Veja, a seguir, um resumo das orientações emitidas pela ANPD em relação ao tratamento de dados pessoais por meio de cookies ou de outras tecnologias de rastreamento online: (i) A coleta dos dados deverá se limitar ao mínimo necessário para o alcance da finalidade legítima e específica informada ao titular, em atenção aos princípios da finalidade, necessidade e adequação, previstos na LGPD; (ii) O titular deverá ter fácil acesso a informações claras e precisas sobre as finalidades do tratamento, os seus meios, período de duração e possibilidade de compartilhamento dos dados com terceiros; (iii) Deve-se garantir mecanismos para o gerenciamento das preferências do titular em relação aos cookies “não-necessários” (cuja desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário) e para a revisão de permissões anteriormente concedidas; (iv) O período de retenção dos cookies deve ser compatível com a finalidade do tratamento informada ao titular. Períodos indeterminados ou excessivos não são compatíveis com a LGPD; (v) A ANPD aponta o legítimo interesse e o consentimento como as bases legais mais usuais para o uso de cookies. E recomenda que o agente de tratamento obtenha o consentimento explícito do titular para o uso de cookies “não-necessários”, como, por exemplo, cookies de publicidade. O legítimo interesse do controlador, por sua vez, poderia justificar o uso de cookies estritamente necessários, bem como aqueles para medição de audiências; (vi) Recomenda-se, ainda, a elaboração de uma Política de Cookies (como documento independente ou como um capítulo na Política de Privacidade do site/plataforma), em atendimento ao princípio da transparência. Além disso, cookie banners também serão considerados boas-práticas quando viabilizarem o gerenciamento livre e informado das preferências do titular. Confira a seção do Guia que traz exemplos ilustrativos de banners considerados adequados. Atenção: é altamente desencorajado o uso de banners com campos pré-selecionados, pois a prática pode ser entendida como um vício à liberdade do titular consentir (ou não) com o uso dos cookies. Em linhas gerais, as orientações da ANPD seguem um tom mais conservador e vão ao encontro do entendimento que prevalece entre autoridades de proteção de dados europeias, onde já existe regulamentação específica sobre o tema.
Artigo “DATA & ADR: Cenários e Potencialidades – Adequação como Resposta”, coautoria de Clarissa Luz e Nathalia Mazzonetto, no livro Arbitragem e Processo – Homenagem ao Professor Carlos Alberto Carmona – Volume 2
A recente obra traz artigo de nossa sócia, redigido em coautoria com a advogada Nathalia Mazzonetto, denominado “DATA & ADR: Cenários e Potencialidades – Adequação como Resposta”. As coautoras explicam a importância da eleição de mecanismos privados para a resolução de conflitos relacionados à Proteção de Dados Pessoais, em especial para dirimir as disputas entre os agentes de tratamento de dados (controladores e operadores), tendo em vista, entre outros aspectos, a reponsabilidade solidária prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) e o sigilo da matéria. O texto aborda a intersecção entre Proteção de Dados e meios apropriados de resolução de conflitos (ADRs), inclusive mediação, arbitragem e comitês técnicos como ferramentas adequadas. O livro, da Editora Quartier Latin, foi coordenado por José Augusto B. Machado Filho, Guilherme Malosso Quintana, Gustavo Gonzalez Ramos, Luis Felipe F. Baquedano, Daniel M. Bioza e Pedro Parizotto.A obra encontra-se à venda em: https://amzn.to/3A4MoL1
No Dia Internacional da Proteção de Dados, ANPD publica nova resolução que regulamenta a aplicação da LGPD para “agentes de tratamento de pequeno porte”
A Resolução CD/ANPD Nº 2, publicada em 28.01.22, objetiva simplificar as medidas de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) para os chamados “agentes de tratamento de pequeno porte”, a exemplo de flexibilização e até dispensa de determinadas obrigações previstas na LGPD, como: De acordo com a Resolução, são considerados agentes de pequeno porte: No entanto, os benefícios previstos no Regulamento não serão aplicáveis nas situações descritas a seguir – nas quais, mesmo que a entidade seja considerada um Agente de Pequeno Porte, esta não poderá usufruir do tratamento especial dado pelo Regulamento e estará sujeita a todas as obrigações previstas na LGPD: A ANPD poderá solicitar, a qualquer momento, provas de que o Agente de Pequeno Porte preenche os requisitos necessários para usufruir do tratamento especial, sendo que as provas deverão ser apresentadas à Autoridade em até 15 (quinze) dias contados do recebimento da solicitação. Cabe lembrar que os benefícios estabelecidos na Resolução não isentam o Agente de Pequeno Porte do cumprimento das demais obrigações previstas na LGPD e que o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD serão considerados como critérios atenuantes em caso de eventual investigação em processos administrativos. Entre em contato com a nossa Equipe de Privacidade e Proteção de Dados para mais informações sobre como a sua empresa pode ser beneficiada pelo Regulamento ou demais dúvidas sobre o assunto.
