ANPD divulga lista dos primeiros processos sancionatórios

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em 23 de março, a lista dos processos sancionatórios instaurados pela Coordenação-Geral de Fiscalização (CGF) contra empresas e órgãos públicos. São, inicialmente, oito processos administrativos.

Em linhas gerais, entre as oito entidades fiscalizadas, sete são órgãos do setor público e somente uma do setor privado. Apesar de a lista indicar que a fiscalização priorizou o setor público, ainda não é possível afirmar se a ANPD manterá esse critério ou voltará seu foco para empresas privadas a partir de agora.

Quanto às condutas investigadas, elas envolvem, em sua grande maioria:

• ausência de comunicação a titulares sobre incidente de segurança; e
• ausência de medidas de segurança.

Era de se esperar que a ANPD, pelo menos a princípio, concentrasse suas investigações na ocorrência de incidentes, devido ao dano que essa conduta pode causar aos titulares.

Contudo, a lista divulgada evidencia que a ANPD não pretende atuar somente para remediar situações resultantes de incidentes de segurança. O caráter preventivo fica evidente quando se verificam investigações sobre:

• ausência de comprovação de hipótese legal;
• ausência de registro de operações;
• não envio de Relatório de Impacto de Proteção de Dados; e
• ausência de encarregado de dados pessoais.

Todas essas medidas são previstas pela Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) como obrigatórias e o seu não cumprimento caracteriza infração à legislação. Por esse motivo, a ANPD poderá fiscalizar as empresas, mesmo sem a ocorrência de incidente que gere dano direto aos titulares.

Sobre o Relatório de Impacto de Proteção de Dados (RIPD) – um dos tópicos de fiscalização –, a ANPD deve publicar em breve um documento com perguntas e respostas para ajudar a elaborá-lo.

Ainda que a íntegra das orientações não tenha sido divulgada até o momento, o voto do conselho diretor divulgado recentemente, além de indicar que um documento sobre o assunto deverá ser publicado, demonstrou que, possivelmente:

• o RIPD deverá ser feito somente em casos de alto risco à garantia dos princípios gerais de proteção de dados pessoais e às liberdades civis e direitos fundamentais do titular, já que todo tratamento envolve risco aos titulares em alguma medida;
• a ANPD não se manifestará individualmente sobre consultas jurídicas relacionadas a situações concretas. Contudo, eventuais dúvidas e questionamentos enviados serão utilizados para fins estatísticos e para direcionar a atuação regulatória e emissão de orientações;
• não haverá necessidade de indicar exaustivamente os dados tratados no RIPD, para evitar informação excessiva e pouco eficiente.

O documento oficial deverá ser publicado no site da ANPD e, provavelmente, trará mais informações sobre os critérios e o conteúdo que a autarquia espera encontrar no RIPD.