Modelo de ROPA simplificado é divulgado pela ANPD e pode ser utilizado por empresas de pequeno porte

Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018 (LGPD) em 2020, ficou estabelecido que os agentes de tratamento, ou seja, tanto o Controlador quanto o Operador, devem manter o registro das operações de tratamento de dados pessoais (também chamado de “ROPA”) que realizarem, conforme disposto no caput do artigo 37 da própria Lei.

 

Importante ressaltar que, de acordo com o artigo 5º, inciso X da LGPD, tratamento é toda e qualquer operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

 

Em 27 de dezembro de 2022 a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 2, um Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. Assim, caso uma microempresa ou empresa de pequeno porte, por exemplo, utilize dados pessoais em seus negócios, também está sujeita à Lei.

 

Nesse sentido, conforme disposto no Regulamento, é igualmente obrigação desses agentes a elaboração e manutenção de um registro das operações de tratamento de dados pessoais. Por conta disso, em recente notícia divulgada pela ANPD, foi disponibilizado um modelo de registro simplificado, em que deverão ser preenchidas informações como:

 

  • Quais são os tipos de dados pessoais coletados;
  • Se há compartilhamento com terceiros;
  • Quis são as medidas de segurança implementadas;
  • Por quanto tempo esses dados são armazenados, dentre outras informações necessárias.

 

Portanto, se mostra de extrema relevância a observância e compliance dos Agentes de Tratamento de Pequeno Porte à LGPD, bem com ao modelo simplificado de registro das operações, sempre que as suas atividades envolverem o tratamento de dados pessoais.

 

 

Advogados autores do comentário: Caroline Muniz e Cesar Peduti, Peduti Advogados. 

Fonte: ANPD divulga modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP)

 

 

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

ANPD esclarece dúvidas a respeito do Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, no mês de abril, uma página em seu sítio eletrônico dedicada a responder dúvidas e a prestar esclarecimentos a respeito do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

 

Conforme definido no artigo 5º, inciso XVII da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, o RIPD é uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

 

 

Consoante o acima exposto, o documento é de responsabilidade do controlador, ou seja, a quem competem as decisões referentes ao tratamento de dados pessoais, e de acordo com o parágrafo único do artigo 38 da LGPD, deverá conter, minimamente, os seguintes itens: (i) a descrição dos tipos de dados coletados; (ii) a metodologia utilizada para a coleta e para a garantia da segurança das informações; e (iii) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

 

Cumpre ressaltar que não há obrigatoriedade, de acordo com a ANPD, de o RIPD ser público. Trata-se, contudo, de uma boa prática permitir que o documento seja acessível pelo titular – observados os segredos comercial e industrial – em cumprimento aos princípios do livre acesso, da transparência e da responsabilização e prestação de contas, dentre outros previstos na própria LGPD.

 

Nos termos do artigo 55-J, inciso XIII da LGPD, se trata competência da Autoridade a edição de regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na Lei. O relatório, portanto, ainda será regulamentado pela ANPD, e está previsto em sua Agenda Regulatória para o biênio 2023-2024, passível, assim, de orientações adicionais.

Advogados autores do comentário: Caroline Muniz e Cesar Peduti, Peduti Advogados 

 

Fonte: ANPD divulga página com perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) 

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

Em fevereiro, ANPD publicará regulamento sobre sanções administrativas

Por meio do regulamento, a autoridade definirá as metodologias que orientarão o cálculo de multas.

 

De acordo com os prévios esclarecimentos da Autoridade Nacional de Proteção de Dados (ANPD), as sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD) entraram em vigor a partir de 1º de agosto de 2021. Sendo assim, multas simples de até 2% do faturamento da empresa, advertências, bloqueios e outras espécies de sanções já poderiam ser aplicadas desde então.

 

Nos meses seguintes, observou-se que a autarquia atuou com maior ênfase no caráter educativo, publicando cartilhas e guias orientativos temáticos ao invés de empenhar mais esforços na competência sancionadora.

 

Em 2023, cumprindo com o previsto na Agenda Regulatória do biênio (publicada no Diário Oficial da União em 4 de novembro de 2022), o atual presidente da Autoridade Nacional de Proteção de Dados, Waldemar Gonçalves, anunciou que o regulamento de sanções administrativas a infrações à LGPD deverá ser aprovado ainda em fevereiro. Ou seja, serão definidas as metodologias que orientarão o cálculo do valor-base das sanções de multa, as quais deverão conter fundamentação detalhada, conforme determina a Lei. 

 

 

Em eventos comemorativos promovidos em prol do Dia Internacional da Proteção de Dados, 28 de janeiro, Gonçalves afirmou que “a grande expectativa pela dosimetria foi confirmada na atenção especial, para a qual tivemos 2.504 sugestões. A sociedade e as empresas, participaram. Nesta semana, já tivemos a designação do diretor Arthur Sabbat como relator. No mês de fevereiro, teremos a publicação da norma”.

 

Ainda, o presidente acrescentou: “preferimos que empresas, órgãos e governos desempenhem suas atividades de dados pessoais em conformidade com a Lei Geral de Proteção de Dados. É o mundo ideal. Mas, para aqueles que não entenderem essa mensagem, nossa fiscalização estará pronta para atuar”.

 

Considerando tais informações, é imprescindível que empresas controladoras e operadoras de dados pessoais destinem especial atenção ao nível de adequação à LGPD

 

No cenário atual, estar em conformidade com a legislação implica assumir posição de destaque e prioridade nas melhores oportunidades de negócios, promovendo segurança e confiabilidade perante clientes e fornecedores, por meio da transparência – para além de evitar sanções. 

 

Sua empresa está plenamente alinhada à atual legislação nesse sentido? Caso haja interesse no tema, não hesite em consultar nosso departamento de Compliance Digital para se adequar às normas de proteção de dados e privacidade. Ficaremos contentes em auxiliar.

 

 

“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”

Prática de Cookies: o que muda para as empresas após as recomendações da ANPD para o Portal Gov.br?

Prática de Cookies: o que muda para as empresas

Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018 (LGPD) no Brasil, em agosto de 2020, o cenário pertinente à temática de proteção de dados pessoais tem evoluído a cada dia, situação alavancada principalmente em razão da pandemia pelo Covid-19. 

Diante dessa conjuntura, os holofotes estão voltados em como as empresas se portam diante das novas regras impostas pela LGPD. Há, contudo, circunstâncias ainda não esclarecidas, pendentes de um posicionamento da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar o cumprimento da LGPD no Brasil.

Uma dessas circunstâncias abrange a questão de uso e aviso de cookies que são utilizados pelas empresas em seus websites. Cumpre ressaltar que os cookies são pequenos arquivos de texto que ficam salvos em seu computador quando você visita determinado website, e se subdividem em diversas categorias. Se forem combinados com outras informações, são capazes de identificar ou tornar uma pessoa física identificável.  

Face a tantas incertezas envolvendo a regulamentação do uso de tais ferramentas, no dia 13/05/2022 a ANPD enviou uma recomendação para a adequação do Portal Gov.br às disposições da LGPD e à prática de cookies.

O primeiro ponto diz respeito ao banner de primeiro nível, também conhecido como “aviso de cookies”. Sua função primordial é informar o usuário que o site faz uso de cookies, em cumprimento ao Princípio da Transparência, previsto na LGPD. 

 

	
Prática de Cookies: o que muda para as empresas

 

Em observância aos requisitos da obtenção do consentimento (que deve ser livre, informado e inequívoco), é essencial que não haja somente o botão de “aceito”, condicionando o usuário unicamente à opção de aceitar o uso de cookies, mas que também haja a opção de recusa. Recomenda-se, ainda, que o usuário possa fornecer o seu consentimento para cada cookie utilizado, de modo que as opções venham desmarcadas. 

Além disso, a ANPD, estabelece a importância de identificar as bases legais utilizadas, de acordo com cada finalidade/categoria de cookie. De acordo com o Princípio da Finalidade, também disposto na LGPD, em seu artigo 6º, inciso, I, qualquer tratamento envolvendo dados pessoais deve ser realizado para “(…) propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”. O consentimento, neste caso, seria a principal hipótese que permitiria o tratamento de dados pessoais, exceto nos casos de cookies estritamente necessários, em que poderá ser utilizada a base legal do legítimo interesse.

Ao tornar tais recomendações públicas, entende-se, portanto, que não se trata apenas de boas práticas de privacidade por padrão (Privacy by Default), mas de modelos a serem seguidos e que se concretizarão à medida em que a ANPD se pronunciar, extensivamente, acerca deste conteúdo. 

Advogada autora do comentário: Caroline Muniz

Fonte: ANPD emite recomendações para adequação da prática de coleta de cookies do Portal Gov.br

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

ANPD regulamenta cumprimento da LGPD por agentes de tratamento de pequeno porte

ANPD regulamenta cumprimento da LGPD por agentes de tratamento de pequeno porte

Hoje foi publicada a Resolução CD/ANPD nº 2/2022. O aguardado ato normativo regulamentou obrigações da LGPD destinadas aos agentes de tratamento de pequeno porte. Segundo a norma, é qualificado como tal as:

  • Microempreendedores individuais – MEI (que tenham receita bruta de até R$ 81 mil por ano);
  • Microempresas (que tenham receita bruta de até R$ 360 mil por ano);
  • Empresas de pequeno porte (que tenham receita bruta de até R$ 4,8 milhões por ano);
  • Startups que estejam qualificadas na Lei Complementar nº 182/2021 (por exemplo, com receita bruta de até R$ 16 milhões e até 10 anos de inscrição no CNPJ);
  • Pessoas naturais e entes despersonalizados (como autônomos)

A ANPD tem o poder de solicitar que o agente de tratamento comprove, em até 15 (quinze) dias, que se enquadra na hipótese de agente de tratamento de pequeno porte.

Quais são as principais novidades para esses agentes de tratamento de pequeno porte? Eles terão alguns benefícios no cumprimento das obrigações da LGPD, ou seja, uma forma mais facilitada de estar em compliance com a norma. Entre eles, vale destacar:

  • A dispensa da necessidade de nomear um Encarregado de Proteção de Dados Pessoais;
  • Registro de atividades de tratamento de maneira simplificada;
  • Procedimento simplificado para comunicação de incidentes de segurança à ANPD;
  • Medidas técnicas e administrativas simplificadas de segurança da informação, bem como a adoção de uma política simplificada de segurança da informação.
  • Prazos em dobro para atender as solicitações dos titulares, comunicar à ANPD ou ao titular acerca de incidentes, fornecimento de declaração completa de tratamento de dados;
  • Prazos para apresentação de documentos à ANPD
  • 15 dias para o fornecimento de declaração simplificada sobre a existência de tratamento de dados pessoais

ANPD regulamenta cumprimento da LGPD por agentes de tratamento de pequeno porte

No caso do Encarregado, ainda que esteja dispensada a figura, ela será considerada como uma medida de boa prática e governança para fins de avaliação da ANPD em caso de qualquer infração à LGPD.

Importante destacar que essas flexibilizações não atingem os agentes de pequeno porte que pertençam a grupo econômico, e nem os que realizam tratamento de alto risco. O tratamento de alto risco é considerado quando, cumulativamente, atenda pelo menos um dos requisitos (gerais e específicos) de cada coluna abaixo:

Critérios Gerais

Critérios específicos

Tratamento em larga escala (quando tem número significativo de titulares, volume de dados, com larga duração, alta frequência ou amplitude geográfica) Uso de tecnologias emergentes ou inovadoras (por exemplo, inteligência artificial, reconhecimento facial, etc.)
Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares (quando puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade) Vigilância ou controle de zonas acessíveis ao público
Decisões tomadas com base em tratamento automatizado (por exemplo, por algoritmo), inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular
Utilização de dados pessoais sensíveis (como saúde, religião, etc.)
Utilização de dados de crianças, adolescentes e idosos (titulares vulneráveis)

 

A Peduti Advogados tem uma atuação consolidada na área de proteção de dados e privacidade, por meio de seu departamento de compliance digital, e está à disposição para esclarecer eventuais dúvidas que possam surgir em relação à aplicação da nova normativa da ANPD sobre o tema.

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

Ataques hackers e LGPD, tudo a ver!

Ataques hackers e LGPD tudo a ver

Recentemente o Ministério da Saúde sofreu um ataque hacker e todos os portais da pasta, incluindo o “ConecteSUS” e o “Portal Covid” foram afetados. O “ConecteSUS” é o aplicativo responsável pela emissão do Certificado Nacional de Vacinação Covid-19, exigido para acessar locais públicos em diversos Estados da Federação. Segundo a reportagem publicada no portal Globo.Com , diversos “dados internos dos sistemas foram copiados e excluídos”.

Investigações da Polícia Federal sobre o ataque hacker ao Ministério da Saúde apontaram que o grupo também invadiu as plataformas do Ministério da Economia e de mais de 20 órgãos do governo federal.

O Brasil é um dos países que mais sofrem ataques de hackers no mundo. Os ataques cibernéticos são variados e podemos citar como exemplo o ransonware, que é um ataque hacker que consiste na paralisação do sistema seguido de um pedido de resgate para que este possa ser liberado. Diante de uma situação como essa, as empresas e entidades que são atingidas devem se mobilizar para proteger seus sistemas e tomar uma decisão difícil sobre pagar ou não o “resgate” aos hackers para restaurar as informações que foram retiradas/bloqueadas no sistema. 

Esses ataques cibernéticos aumentaram bastante na pandemia, já que o trabalho remoto e utilização maciça de serviços online trouxeram um ambiente propício para esse tipo de iniciativa, já que boa parte das empresas não estava preparada para esse novo contexto.  

 

Ataques hackers e LGPD tudo a ver

 

Tendo em vista esse cenário, é importante ressaltar a importância de as empresas terem uma boa infraestrutura de Tecnologia da Informação (TI) e processos bem estabelecidos de SI (Segurança da Informação), associada a uma boa governança dos dados, ou seja, com um programa bem delimitado para a proteção dos dados e informações que são utilizados pela organização. 

Especialmente com relação aos dados pessoais, vale lembrar que o investimento na infraestrutura de TI e SI e em governança é ainda mais oportuno, já que a Autoridade Nacional de Proteção de Dados (ANPD) está se estruturando para passar a investigar os agentes de tratamento de dados pessoais (controladores e operadores) quanto ao cumprimento das regras e princípios previstos na Lei Geral de Proteção de Dados (LGPD) e, quando for o caso, aplicar as sanções delimitadas na referida norma, que, como se sabe, são variadas, podendo envolver a aplicação de multas que podem chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Nosso escritório possui um time especializado em Compliance Digital que pode assessorar sua empresa na implementação, manutenção e aperfeiçoamento de um programa adequado de governança de proteção de dados. Em caso de dúvidas, entre em contato.

Advogada autora do comentário: Natália Pimenta Brito de Lima

Fonte: Aplicativo do ConecteSUS deixa de apresentar vacinas; site está fora do ar.

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

 

LGPD: Regulamentado processo de fiscalização e aplicação de multas pela ANPD – Autoridade Nacional de Proteção de Dados

LGPD Regulamentado processo de fiscalização e aplicação de multas pela ANPD Autoridade Nacional de Proteção de Dados

Resolução CD/ANPD nº 1, de 28 de outubro de 2021

 

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou, no dia 28 de outubro de 2021, o “Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD”, que detalha os procedimentos necessários para a aplicação de multas e sanções administrativas, àqueles que infringirem às normas previstas na Lei Geral de Proteção de Dados (LGPD), que incluem: advertência, multa simples, multas diárias e até a proibição total do exercício das atividades relacionadas ao tratamento de dados pessoais.

O Regulamento possui 71 artigos e trata dos deveres dos agentes regulados e de disposições processuais, além de dispor sobre o processo de fiscalização que compreende as atividades de monitoramento, orientação e atuação preventiva, dentre outros temas. 

Referida regulamentação da ANPD ainda estabelece obrigações que as empresas devem cumprir, tais como: (i) estarem preparadas para o fornecimento de informações que permitam avaliar as atividades de tratamento de dados pessoais realizadas; (ii) permitir o acesso às instalações, equipamentos e sistemas; (iii) informar sobre o inventário de TI e demais sistemas utilizados para os tratamentos de dados; (iv) submeter-se a auditorias; (v) comprovar a manutenção de informações durante os prazos legais e (vi) disponibilizar um representante apto a apoiar a atividade de fiscalização, com conhecimento e autonomia para prestar todas as informações pertinentes. O rol, portanto, é exemplificativo e não taxativo.

Cabe, ainda, ao agente solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou industrial.

Além dos agentes regulados, o Regulamento é aplicável aos titulares de dados (pessoas naturais ou jurídicas); aqueles que têm direitos ou interesses em eventual decisão da ANPD; organizações e associações representativas (no tocante a direitos e interesses coletivos); pessoas ou associações legalmente constituídas, incluindo as instituições acadêmicas (no tocante a direitos e interesses difusos), conforme previsto no artigo 13 do Regulamento. 

Cumpre destacar que a atividade fiscalizatória da ANPD tem por objetivo orientar, prevenir e reprimir as infrações à LGPD e, conforme o artigo 16 do Regulamento, poderá ser:

I – de ofício;

II – em decorrência de programas periódicos de fiscalização;

III – de forma coordenada com órgãos e entidades públicos; ou

IV – em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Com relação a atividade de monitoramento, deverá ser elaborado, anualmente, o Relatório de Ciclo de Monitoramento, que corresponde a um “instrumento de avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD”. O primeiro Ciclo de Monitoramento terá início em janeiro de 2022. Deverá ser implementado, ainda, o Mapa de Temas Prioritários, que será bianual e “estabelecerá os temas prioritários que serão considerados pela Autoridade para fins de estudo e planejamento da atividade de fiscalização no período”.

Cumpre destacar que o relatório de análise de ciclo de monitoramento orientará a estratégia de atuação preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte. Já o mapa de temas prioritários consolidará os assuntos que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização em determinado período.

 

LGPD Regulamentado processo de fiscalização e aplicação de multas pela ANPD Autoridade Nacional de Proteção de Dados

 

Com relação à atividade repressiva, o artigo 37 do Regulamento prevê que “o processo administrativo sancionador se destina à apuração de infrações à legislação de proteção de dados de competência da ANPD” e poderá ser instaurado, sem possibilidade de recurso, (i) de ofício; (ii) em decorrência de processo de monitoramento; e (iii) diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata de processo sancionador.

O procedimento administrativo definido na Resolução 1/2021 será composto de quatro fases: (i) a instauração, de ofício ou provocada (por denúncia, inclusive anônima); (ii) a instrução, na qual o autuado apresentará sua defesa e provas para embasar seus argumentos em até 10 (dez) dias úteis; (iii) a decisão; e (iv) recurso ao Conselho Diretor da ANPD, no prazo de 10 (dez) dias úteis, com efeito suspensivo, limitado ao dispositivo da decisão devolvido via recursal, que possibilitará o juízo de reconsideração. 

No entanto, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador, a Coordenação-Geral poderá efetuar averiguações preliminares, que poderão tramitar em sigilo e, ao final, serem arquivadas ou darem origem ao processo administrativo. 

Vale destacar que a empresa autuada poderá apresentar Termo de Ajuste de Conduta (TAC) à ANPD que, uma vez aprovado, suspenderá o andamento do processo administrativo sancionador, podendo até mesmo arquivá-lo após o cumprimento integral das obrigações acordadas no documento.

O acusado terá direito ao contraditório e ampla defesa, bem como chance de recorrer das decisões, e, mesmo em caso de condenação final, com trânsito em julgado, é importante ressaltar que os processos administrativos “poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada”.

Com relação aos prazos e atos administrativos, um aspecto de destaque do Regulamento consiste na contagem dos prazos relativos aos atos do processo administrativo de competência exclusiva da ANPD. O artigo 8º do normativo prevê que “os prazos começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento”. 

Ainda, conforme o Regulamento, “os atos administrativos serão realizados, preferencialmente, por meio eletrônico. Como exceção, a ANPD “poderá expedir comunicação por suporte físico, ou por qualquer outro recurso que assegure a certeza da ciência do interessado”.

Com relação a orientação e a prevenção, cumpre destacar que caberá à Autoridade Nacional de Proteção de Dados promover medidas para a criação de uma conscientização geral do tema de proteção de dados que visa atingir os agentes de tratamento, os titulares de dados pessoais e os demais integrantes ou interessados no tratamento de dados pessoais.

Além do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, a ANPD ainda submeterá à consulta pública norma específica para discutir as formas e as dosimetrias para o cálculo do valor-base das sanções de multa, com o objetivo de regulamentar todos os seus elementos.

Portanto, a tendência que estamos observando é a de que a ANPD valorizará as empresas que vem implementando os seus programas de governança e de proteção de dados, especialmente no momento de definir as sanções a serem aplicadas no caso de infração das normas de proteção de dados. Cumpre destacar ainda, que a ANPD, especialmente nesse momento inicial de estruturação do órgão, tem valorizado o caráter pedagógico da norma para incentivar e orientar as empresas a fomentarem em suas organizações a cultura de proteção de dados pessoais. 

Advogada autora do comentário: Natália Pimenta Brito de Lima

Fonte: RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

Sanções da LGPD: o que você precisa saber antes de entrarem em vigor

Sanções da LGPD o que você precisa saber antes de entrarem em vigor

A sua empresa já realizou as adaptações necessárias em sua política de dados para prevenir-se contra as sanções administrativas da LGPD?

Por mais que a Lei Geral de Proteção de Dados Pessoais (LGPD) tenha sido aprovada em 2018 e teve sua vigência iniciada em 2020, as penalidades previstas nela só passam a valer em agosto de 2021.

Ainda que sua adequação seja fundamental para evitar problemas legais e, principalmente, para respeitar os direitos fundamentais de privacidade dos indivíduos, muitos negócios ainda não estão atentos às principais exigências. 

Isso se torna alarmante se levarmos em consideração que os vazamentos de dados aumentaram quase 500% no Brasil nos últimos anos, de acordo com dados do MIT publicados no Journal of Data and Information Quality da ACM.

Soma-se isso ao fato de que 84% das organizações ainda não estão prontas para atender a todos os requisitos da legislação, segundo um estudo da consultoria ICTS Protiviti com 104 empresas brasileiras, e o tema se torna ainda mais urgente. 

Mas, afinal, quais são as sanções da LGPD, como e quando elas serão aplicadas e quais os melhores meios de evitá-las? Descubra a seguir. 

 

Como funcionarão as sanções da LGPD?

As sanções e as multas da LGPD serão aplicadas por meio de processos administrativos, em que as organizações terão o direito à ampla defesa. 

O órgão responsável por essa regulação, e pela fiscalização da legislação como um todo, é a Autoridade Nacional de Proteção de Dados (ANPD). É cabível à autoridade emitir opiniões técnicas, estabelecer recomendações às empresas e exigir a apresentação de relatórios relacionados ao cumprimento da lei. 

Em relação aos documentos citados acima, eles são chamados de Relatório de Impacto à Proteção de Dados Pessoais e devem ser apresentados sempre que solicitados pela ANPD. Além dessa questão, aos negócios também é exigido prezar pelas boas práticas de privacidade e de segurança em todas as suas atividades e segmentos. 

Isso significa que é imprescindível garantir conformidade com a LGPD e ficar atento a todas as suas previsões, especialmente com a chegada do período que dará início às penalidades. 

Mais do que ter domínio sobre os aspectos mencionados na lei, as empresas devem adotar políticas de compliance para todos os profissionais que lidam com os dados do público, readequar seus processos e prezar por um novo mindset organizacional direcionado ao tema. 

Nesse sentido, alguns dos cuidados mais importantes, e que correspondem ao ponto de partida ideal para prevenir-se contra as sanções da LGPD, envolvem: 

Sanções da LGPD o que você precisa saber antes de entrarem em vigor

 

Gestão voltada à redução de riscos

Proteger os dados das pessoas durante seu tratamento é um dos pontos mais importantes da legislação. Sendo assim, é fundamental orientar toda a gestão para que tenha meios de controle para garantir a privacidade das informações, métodos ágeis de resposta contra vazamentos, além de processos bem definidos para identificar e mitigar riscos ou inconformidades. 

Análise e adequação dos processos de tratamento

Por falar no tratamento de dados, é preciso ter atenção a todos os procedimentos já realizados pela organização e àqueles que ainda serão implementados. O ideal é registrar todos os processos, adotar meios de controle alinhados aos princípios da LGPD, revisá-los constantemente para reconhecer gargalos e adequá-los sempre que necessário. 

Isso pode incluir desde a revisão de contratos, até a atualização das Políticas de Privacidade e a própria requalificação dos profissionais responsáveis por captar, armazenar ou tratar as informações. 

Definição de um controlador e atenção ao RIPDP

O Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) é definido no art. 5º da LGPD e deve descrever todos os processos de tratamento feitos por uma organização, incluindo seus procedimentos, possíveis riscos e meios de mitigá-los. Sua elaboração deve ser de responsabilidade de um controlador e é indispensável antes de qualquer ação direcionada aos dados da audiência. 

 

Quando as sanções começarão a ser aplicadas?

Após um longo período de adequação, as sanções da LGPD vão começar a valer a partir do dia 1º de agosto de 2021. Suas penalidades incluem advertências, multas simples e diárias, que variam de acordo com a infração da empresa.

No caso das advertências, nenhuma multa é aplicada, sendo que é indicado um prazo para que a organização corrija o problema apontado pela Autoridade Nacional de Proteção de Dados.

Já a multa simples pode ser de até 2% do faturamento, com limite de R$ 50 milhões por infração e sem contar os tributos. Nessas situações, os dados podem ser bloqueados ou excluídos até a regularização, ou ter seu banco de armazenamento suspenso por até 6 meses.

Por sua vez, a multa diária é calculada segundo a gravidade e a extensão do dano gerado, sendo que a ANPD considera o faturamento total do negócio para determinar o valor. 

Há ainda, como outros tipos de sanções, a possibilidade de publicização da infração cometida, o que gera sérias consequências em termos de imagem e de prestígio da empresa perante o mercado consumidor.

Esteja de acordo com a LGPD

Cumprir as exigências da LGPD é fundamental para que sua empresa não tenha prejuízos e nem sofra com as limitações impostas pelas penalidades da ANPD. Tão ou mais importante que isso é levar em consideração que a credibilidade do seu negócio também está em jogo.

Afinal, a segurança e a privacidade dos dados é um direito fundamental dos cidadãos, e não prezar por ele pode enfraquecer o senso de compromisso da sua organização perante o mercado e a sociedade.

Se você gostou de saber mais sobre as sanções da LGPD e quer ficar por dentro de ainda mais temas tão relevantes quanto este, não deixe de acompanhar os próximos artigos do blog. Aproveite e compartilhe o conteúdo com os seus amigos. 

“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”
“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”