A Lei Geral de Proteção de Dados Pessoais – LGPD, dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares de dados contra usos inadequados.
O órgão que fiscaliza o cumprimento da LGPD é a ANDP, uma autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
Os dispositivos da LGPD que tratam de sanções administrativas somente entraram em vigor em 1º de agosto de 2021. A ANPD pode aplicar, segundo o artigo 52 da Lei Geral de Proteção de Dados, após procedimento administrativo que possibilite a ampla defesa, sanções administrativas.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta semana, decisões em dois processos sancionadores um: em face do Instituto Nacional de Seguro Social (INSS) e outro da Secretaria de Estado de Educação do Distrito Federal (SEEDF). A Autoridade entendeu que os dois órgãos públicos violaram disposições legais sobre o tratamento de dados pessoais e aplicou sanções para ambos, que a ANDP condenou o INSS por publicizar infrações à LGPD e a SEEDF, recebeu quatro sanções de advertência.
Em decisão publicada em 01/02/24, o INSS foi condenado por não comunicar a ocorrência de incidente de segurança aos titulares de dados, com o agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente aconteceu em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados. O Instituto, entretanto, alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação.
A Autoridade, por sua vez, não acatou a justificativa, uma vez que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente, conforme previsto na LGPD. Diante disso, condenou o INSS a publicizar a infração em seu site e no aplicativo Meu INSS durante 60 dias.
“A comunicação aos titulares é medida fundamental para que eles possam se proteger após um incidente de segurança. A partir da ciência, as pessoas afetadas podem tomar medidas como alterar senhas e prestar mais atenção a contatos potencialmente suspeitos, como ligações e mensagens”, explica Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD.
Já a SEEDF foi sancionada por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização da Autoridade. A ANPD conclui que a Secretaria deixou de manter registro de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da LGPD); de comunicar aos titulares a ocorrência de incidente de segurança que representasse risco ou dano relevante (art. 48 da LGPD); e de usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD (art. 5º do Regulamento de Fiscalização da ANPD).
Diante das infrações, a Autoridade aplicou quatro sanções de advertência em despacho decisório publicado na quarta-feira (31).
A conformidade com a LGPD reduz riscos legais e financeiros para as empresas. As penalidades por violações podem ser substanciais, podendo impactar severamente a reputação e a sustentabilidade do negócio. Ao investir em políticas, processos e tecnologias que garantam o cumprimento da legislação, as empresas mitigam esses riscos, evitando multas e potenciais danos à imagem corporativa.
Contar com uma assessoria especializada na implementação da LGPD não apenas simplifica o processo, mas também assegura que as empresas estejam mais bem preparadas para lidar com os desafios e oportunidades decorrentes das regulamentações de proteção de dados, promovendo a confiança e a transparência no tratamento das informações pessoais.
Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?
O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei bem como, nos processos de compliance trabalhista.
Melissa Noronha Marques de Souza é sócia no escritório Noronha e Nogueira Advogados.
Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya
Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.
É membro efetivo da Comissão Especial de Advocacia Trabalhista da OAB/SP.
É membro efetivo da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP.