Claro, TikTok, Telegram e WhatsApp, Serpro, Ministério da Justiça, INSS e Dataprev são algumas das companhias sob investigação em relação ao cumprimento das regras de tratamento de dados previstas na LGPD
A Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) divulgou uma nova lista com 16 processos de fiscalização, envolvendo 27 instituições que estão sob investigação do órgão, entre eles TikTok, Telegram e WhatsApp. Os processos buscam analisar a adequação dessas empresas à Lei Geral de Proteção de Dados Pessoais (LGPD).
A única operadora na lista é a Claro. A empresa é investigada para que ANPD verifique se ela cumpre as regras de tratamento de dados previstas na LGPD. Na lista, também estão sete órgãos públicos, como Serpro, Ministério da Justiça, INSS e Dataprev.
A lista completa das empresas citadas encontra-se no site da ANPD, no entanto a mesma não apresenta critério claro de escolha da Autoridade para definir a ordem de prioridade da fiscalização. Das mais de 7 mil denúncias recebidas na ouvidoria, mais de 1.200 viraram processos fiscalizatórios e agora mais de 20 instituições estão respondendo a fase inicial de fiscalizações investigativas que podem evoluir para processos sancionares. Diferente de Autoridades de outros países, a ANPD classificou os casos de forma genérica como verificação de conformidade do tratamento de dados pessoais.
“Esta questão não atende ao princípio da transparência e coloca todos no mesmo nível de enquadramento perante os olhares da opinião pública. Não se pode comparar um caso de análise de tratamento de base legal para uso de CPF dentro de um modelo de negócio de indústria com um caso de megavazamento por violação de segurança que traz consequências danosas para todos com efeitos colaterais de aumento de fraude e riscos e danos relevantes para os indivíduos”, afirma Dra. Patricia Peck, conselheira titular do CNPD.
Para a especialista, a ANPD pode melhorar o procedimento, pois é um equívoco colocar dentro do mesmo enquadramento e medida de prioridade a análise de um caso sobre aviso de política de privacidade ou prazo de atendimento de direito de titular a um caso em que há perda de dados com prejuízo incalculável devido a sequestro de dados e inexistência de medidas protetivas de segurança. Ou ainda um caso em que haja falta completa de atendimento de solicitações da Autoridade, inexistência de Encarregado, que são requisitos da lei formais, como do artigo 41.
“Se o DPO (encarregado dos dados) não foi nomeado, imagina o que mais não está em conformidade. Então, neste quesito, a ANPD poderia melhorar imediatamente e seguir as referências internacionais, conforme pude apresentar na pesquisa de Benchmarking entregue pelo grupo de trabalho 2 do CNPD em que conduzi como Conselheira Titular e coordenadora em 2022”, ressalta a especialista, indicando ainda que há poucas informações. “Só as partes habilitadas podem saber mais. Isso é oposto do que as autoridades de proteção estrangeiras (DPA - Data Protection Authority) fazem, pois eles mencionam os artigos que se refere a instauração do processo sancionador.”
No caso citado pela especialista, as autoridades estrangeiras citam os artigos, sendo: art. 6 (princípios), artigos 8 e 9 (políticas e consentimento), artigos 7 e 11 (bases legais), artigo 10 (legítimo interesse), artigo 14 (criança e adolescente), artigos 18 e 19 (direitos titulares), artigo 41 (encarregado), artigo 46 (medidas técnicas segurança). “Alguns dos mais de 20 casos envolvem todas estas violações de artigos. O que significa que teremos muito provavelmente a possibilidade de aplicação da multa máxima por gravidade alta”, lembra Dra. Patricia Peck.
No site do GDPR (General Data Protection Regulation - Regulamento Geral sobre a Proteção de Dados 2016/679 é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Económico Europeu que foi criado em 2018), os artigos vêm citados como a autoridade de lá faz, indicando pelo pelo menos o artigo e o tipo de análise de conformidade para discernir os níveis de problema. Senão expõe as marcas todas como se todos tivessem cometido o mesmo tipo de violação.
“Em uma lei iniciando, a ANPD precisa estar junto do mercado para ajudar na jornada da conformidade. Os efeitos negativos reputacionais podem prejudicar a marca em casos que são de baixa gravidade colocados junto ao lado dos de alta. Assim como a pessoa que tem sua foto tirada pois foi dar depoimento na delegacia e tiram a foto do lado de um assassino. O que causa na imagem pública?”, questiona Dra. Patricia.
A ANPD pode realizar auditorias e solicitar informações sobre o tratamento de dados pessoais, por exemplo. O órgão também pode propor medidas preventivas ao agente regulado para que se adeque ao regulamento.
O processo administrativo sancionador, por outro lado, serve para aplicar as sanções determinadas pela LGPD, normalmente, quando já estão presentes indícios probatórios de infração.
Fonte: Tamer, em 09.06.2023