Entre em contato

As decisões da ANPD nos 4 processos administrativos sancionadores

Em 2023 a ANPD publicou a Resolução CD/ANPD nº 4 aprovando o regulamento de dosimetria e aplicação de sanções administrativas, o que lhe possibilitou finalizar os processos administrativos fiscalizatórios que estavam pendentes de aplicação de sanções.

Após, a ANPD concluiu ainda em 2023 o julgamento de 4 processos administrativos sancionadores, cujas decisões serão analisadas a seguir:

1. Processo Telekall Inforservice

A primeira penalidade foi aplicada a uma microempresa, que respondeu o processo administrativo por oferta de lista de contatos de WhatsApp para disparo de mensagens para candidatos políticos.

A ANPD foi notificada sobre suposta oferta de lista de contatos a candidatos às eleições municipais. Ao instaurar o processo administrativo, verificou: ausência de comprovação de base legal para tratamento de dados pessoais; ausência de comprovação de indicação de encarregado de dados; e não atendimento às requisições da ANPD.

A Empresa em sua defesa alegou que utilizou dados públicos disponíveis na internet, não se aplicando, portanto, a LGPD. Entretanto, a ANPD entendeu que mesmo os dados tornados públicos pelo próprio titular devem ser utilizados seguindo as regras da LGPD.

Quando da análise para aplicação da sanção para cada uma das infrações identificadas a ANPD entendeu que:

a. Ausência de comprovação de base legal para tratamento de dados pessoais:

Apesar de ser considerada uma infração leve, as bases legais são consideradas a espinha dorsal da LGPD, portanto o seu descumprimento não pode ser punido apenas com uma pena de advertência, pois seria muito branda quando considerada a sua importância.

Dessa forma, foi aplicada multa simples que foi calculada levando em consideração a vantagem econômica pretendida com a operação de tratamento de dados, mas que acabou sendo limitada ao limite imposto pela LGPD de 2% sobre o faturamento.

b. Ausência de comprovação de indicação de encarregado de dados:

A ausência de indicação de encarregado de dados é considerada infração leve, portanto foi penalizada com advertência.

c. Não atendimento às requisições da ANPD:

A obstrução à atividade de fiscalização é considerada infração grave, portanto o não atendimento às requisições da ANPD caracteriza exatamente uma obstrução à atividade de fiscalização.

Essa circunstância gera a aplicação de pena de multa simples, que foi estipulada em R$ 7.200,00, também sendo limitada ao limite imposto pela LGPD de 2% sobre o faturamento.

2. Processo Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo – Iamspe

O Instituto respondeu ao processo administrativo por ausência de comunicação de incidente de segurança aos titulares de dados em prazo razoável e por não atender aos requisitos de segurança.

A ANPD tomou ciência do incidente de segurança sofrido pelo Instituto e verificou inconformidades na comunicação do incidente aos titulares de dados e identificou que os sistemas utilizados pelo Instituto não atendiam aos requisitos de segurança.

Na análise para aplicação da sanção para cada uma das infrações identificadas a ANPD entendeu que:

a. Ausência de comunicação do incidente aos titulares de dados:

Diante da infração cometida, decidiu pela imposição de pena de advertência com imposição de medidas corretivas. As medidas que o Instituto teve de adotar foram: ajustar o comunicado já existente no site; e manter o comunicado ajustado por 90 dias.

b. Utilização de sistemas sem os devidos requisitos de segurança:

Pela infração de ausência dos requisitos de segurança foi aplicada a pena de advertência com imposição de medidas corretivas. As medidas que tiveram que ser adotadas foram: informar à ANPD o resultado dos novos programas a serem implementados.

3. Processo Instituto de Pesquisas Jardim Botânico do Rio de Janeiro – JBRJ

O Instituto respondeu ao processo administrativo por ausência de comunicação de incidente de segurança à ANPD e aos titulares de dados.

A ANPD tomou conhecimento sobre um incidente de segurança na base de dados do Instituto por meio de notícias veiculadas nos meios de comunicação e instaurou processo administrativo para que o Instituto realizasse a comunicação ou justificasse o motivo pelo qual não o teria realizado.

Em sua defesa o Instituto disse que o incidente de segurança foi apurado e controlado, mas que não afetou banco de dados pessoais, mas somente banco de dados de pesquisa, portanto, não haveria a obrigação de comunicação da ANPD.

Diante da alegação do Instituto e da ausência de provas que mostrasse que o incidente havia afetado dados pessoais, a ANPD entendeu que não foi configurada a violação ao artigo 48 da LGPD que estabelece a obrigação de comunicação de incidente de segurança.

4. Processo Secretaria de Estado da Saúde de Santa Catarina

A Secretaria respondeu ao processo administrativo por ausência de comunicação de incidente de segurança aos titulares de dados em prazo razoável, por não ter apresentado relatório de impacto após solicitação da ANPD e por não atender a requisitos de segurança.

A ANPD tomou ciência do incidente de segurança sofrido pela Secretaria e verificou que a comunicação do incidente aos titulares de dados teria sido feita somente 7 meses após o incidente e de forma geral e não individualizada. Na fiscalização a ANPD também identificou que os sistemas utilizados pela Secretaria não atendiam aos requisitos de segurança. Além disso, a Secretaria deixou de apresentar o relatório de impacto e outros documentos que foram solicitados pela ANPD.

Na análise para aplicação da sanção para cada uma das infrações identificadas a ANPD entendeu que:

a. Ausência de comunicação do incidente aos titulares de dados:

Como o incidente de segurança afetou dados de saúde, que são dados sensíveis, a infração foi considerada grave. Entretanto, apesar de ser uma infração grave, como a atividade da Secretária é de interesse público, não seria cabível a imposição de outras sanções previstas na LGPD, mas sim a de advertência com imposição de medidas corretivas.

As medidas que a Secretaria teve de adotar foram: manter o comunicado de incidente de segurança na página principal do site por mais 90 dias; e enviar o comunicado de incidente de segurança de maneira individualizada para cada titular afetado.

b. Utilização de sistemas sem os devidos requisitos de segurança:

Com a concretização do incidente de segurança a partir da ausência dos requisitos de segurança e como esse incidente atingiu dados pessoais sensíveis, a infração foi considerada grave pela ANPD.

Apesar de ser uma infração grave, como a atividade da Secretaria é de interesse público, não seria cabível a imposição de outras sanções previstas na LGPD, mas sim a de advertência com imposição de medidas corretivas. Entretanto, as medidas corretivas deixaram de ser determinadas, pois estas já foram cumpridas pela Secretaria quando da contenção do incidente de segurança.

c. Não apresentação do relatório de impacto a proteção de dados:

A infração foi considerada leve, pois não impediu a continuidade da atividade de fiscalização da ANPD. Diante disso, a penalidade aplicada foi a de advertência, sem a imposição de medida corretiva, tendo em vista que o relatório de impacto foi apresentado pela Secretaria posteriormente.

d. Não atendimento às requisições da ANPD:

Como a obstrução à atividade de fiscalização é considerada infração grave, portanto o não atendimento às requisições da ANPD caracteriza exatamente uma obstrução à atividade de fiscalização.

Entretanto, apesar de ser uma infração grave, como a atividade da Secretaria é de interesse público, não seria cabível a imposição de outras sanções previstas na LGPD, mas sim a de advertência, sem a imposição de medias corretivas, uma vez que as informações foram apresentadas posteriormente.

Conclusão.

Em um ano, a ANPD finalizou quatro processos administrativos sancionadores, dos quais três resultaram em aplicação de penalidades.

Nesse sentido, verifica-se que, diferente do que muitos imaginavam, a ANPD começou firme nas aplicações de penalidades para aqueles agentes de tratamento que descumpriram a LGPD e não veio somente com o intuito educativo.

Esse é um importante sinal para as Empresas que devem estar com o seu programa de conformidade à LGPD em dia e sempre atentas às novas alterações de processos e às suas rotinas de segurança.