A advertência e a multa se dão quase três anos após a entrada em vigor da lei de proteção de dados, e foram aplicadas a uma empresa de telemarketing por violação de três artigos da LGPD. Entre as infrações, a empresa teria deixado de indicar um encarregado para proteção de dados e ignorado processo administrativo.

Com a sanção, a empresa terá de pagar R$ 14,4 mil aos cofres públicos.

LEIA MAIS: Sanções por descumprimento da LGPD pode atingir o setor de saúde

Com a sanção, a empresa terá de pagar R$ 14,4 mil aos cofres públicos.

Foram aplicadas as seguintes sanções:

• Advertência por infração ao art. 41 da LGPD;
• Multa no valor de R$ 7.200 por infração ao art. 7º da LGPD, e R$ 7.200 por infração ao art. 5º do regulamento de fiscalização, totalizando R$ 14.400

Segundo o despacho, a empresa teria deixado de indicar um Data Protection Officer e um encarregado de proteção de dados. Também não teria comprovado a “base legal” para tratamento de dados e não teria atendido pedidos da ANPD durante o processo administrativo que culminou na multa.

A decisão ocorre na “primeira instância” da autarquia, sendo possível recorrer.

Confira o despacho:

Análise

Para especialistas em Direito Digital, o fato de a primeira sanção ter sido aplicada a pequena empresa, com multa relativamente baixa, mostra que as exigências da lei servem para todos, e não apenas às grandes companhias.

LEIA MAIS: Proteção de dados impacta ambiente empresarial

Veja as observações:

“Ao longo dos últimos anos, as micro e pequenas empresas foram as mais reticentes em adequar suas atividades aos termos da legislação, sob o pretenso argumento de que eventual fiscalização da lei seria focada somente em grandes organizações.” Alexander Coelho, sócio de Godke Advogados

“Essa multa pecuniária é um lembrete contundente de que a proteção de dados é uma responsabilidade séria e que as empresas devem cumprir as exigências legais para evitar consequências negativas para si próprias. (…) A adequação à LGPD é obrigatória para todas as empresas que gerenciam dados pessoais, visando garantir a proteção e privacidade dos titulares de dados. 

Um passo fundamental nesse processo é nomear os agentes de tratamento de dados, caso do DPO – que a empresa advertida e multada não dispunha.

Ele funciona como um mediador das comunicações e reclamações entre os titulares de dados e a ANPD, atendendo toda demanda que a empresa receber; adotando providências legais que irá eximir as companhias de advertências e multas, além de preservar a credibilidade e imagem das empresas no que envolver gestão de dados pessoais.” Paulo Vinícius de Carvalho Soares, sócio-head da Lee, Brock, Camargo Advogados (LBCA)

“O fato de o primeiro caso de aplicação das penalidades administrativas ser uma pequena empresa e em um valor relativamente baixo ajuda a reforçar dois importantes pontos: que não são só grandes corporações, incluindo as big techs, que serão penalizadas; e que as multas serão aplicadas para de fato punir de forma viável e compatível com o porte do infrator.

Isso porque a imagem que a maioria das pessoas tem é de que quem violar a LGPD será punido com uma multa de 50 milhões, algo que é irreal e incompatível com maioria das empresas, e serve de desincentivo para se adequarem à lei.”  Márcio Chaves, sócio do escritório Almeida Advogados.

O post ANPD aplica primeira sanção por infração à LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Durante o ano de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou o processo de regulamentação das sanções e poderá aplicar sanções retroativas por violações que tenham sido praticadas desde agosto de 2021, podendo ser aprovado ainda no mês de fevereiro de 2023, passando para a fase de fiscalização e aplicação das multas.

A aplicação retroativa fica restrita às infrações que eventualmente forem cometidas após a vigência dos artigos 52, 53 e 54 da LGPD, já que não há possibilidade de aplicação de sanções por infrações ocorridas antes disso. Outro ponto relevante a ser destacado é que não é apenas a ANPD que poderá realizar a fiscalização do cumprimento da legislação. Outros órgãos, como o Ministério Público, Senacon e o Poder Judiciário também devem atuar no caso de serem acionados diretamente pelos titulares.

Olhando para o cenário internacional e tomando como parâmetro o Regulamento Geral de Proteção de Dados (RGPD), desde a sua entrada em vigência na União Europeia, em 25 de maio de 2018, já foram aplicadas pouco mais de 900 sanções, com valor que ultrapassa 1,3 bilhões de euros e o setor de saúde é um dos mais afetados. 

O maior grupo de multas está relacionado a medidas técnicas e organizacionais insuficientes, isto é, falta de segurança de dados. Somente nesta área foram aplicadas 21 multas, num total de cerca de 8,9 milhões de euros ou mais de 90% do valor total das multas no setor da saúde.

No Brasil, em 2021, um hospital foi condenado a pagar uma indenização para uma paciente por conta de falhas de segurança na guarda dos prontuários médicos. 

Em resumo, de acordo com o processo, houve uma invasão aos sistemas do hospital, possibilitando que uma pessoa não autorizada tivesse acesso a informações que deveriam ser mantidas em sigilo e, com isso, conseguiu convencer familiares da paciente a realizar um depósito no valor de R$ 3.000 para a realização de supostos procedimentos médicos não cobertos pelo serviço contratado.

 Ao final da ação, o hospital foi condenado ao pagamento de uma indenização por danos morais e em restituir o valor pago ao golpista pela família da paciente.

Contudo, mais preocupante do que os valores que são pagos em multas e indenizações, o dano reputacional e à imagem é algo que poderá conduzir o titular a procurar outra empresa para se relacionar por quebra de confiança. E para evitar as punições, o segredo é apenas um: estar em conformidade com a legislação e preparado para atender às demandas e solicitações que chegarem, sejam dos titulares ou dos órgãos de fiscalização.

É importante entender o ciclo de vida dos dados pessoais, apontar as finalidades pela qual ocorre cada uma das operações de tratamento e definir as bases legais que justificam e autorizam as atividades. Além disso, avaliar os compartilhamentos e as medidas de segurança que são adotadas para proteger a confidencialidade, integridade e disponibilidade das informações também é altamente recomendável.

No setor da saúde, por lidar com dados sensíveis, os cuidados devem ser redobrados pelos agentes de tratamento.

 Além disso, em razão da volumetria de dados pessoais e dados pessoais sensíveis que são manipulados no dia a dia em clínicas, consultórios, laboratórios e hospitais, os riscos podem ser muito altos e precisam ser tratados de acordo com a urgência e nível de criticidade. Isso porque, conforme previsão da LGPD, no caso de algum dano (patrimonial ou moral) ao titular, o agente de tratamento fica obrigado a reparar.

Daí vem a necessidade de se estabelecer um Programa de Governança em Proteção de Dados, que possa trazer segurança para as atividades de tratamento que são realizadas, garantindo um nível adequado de conformidade com a legislação como um todo (e não apenas com a LGPD), permitindo que os agentes de tratamento realizem suas operações e possam estar preparados para atender aos titulares, órgãos de fiscalização e também para agirem em casos de incidentes de segurança.

A pandemia do coronavírus fez com que houvesse uma alta na procura por atendimentos médicos e diariamente foram divulgadas informações sobre o número de novos contaminados, total de vacinados, registro de óbitos e indicação dos que foram curados. O compartilhamento destas informações consta no item 43, do Anexo da Portaria nº 204/2016, do Ministério da Saúde, que estabelece os critérios e lista de doenças que devem ser comunicadas compulsoriamente com os órgãos de saúde pública.

O volume de informações divulgadas e o registro em um banco de dados unificado atraiu hackers que realizaram ataque aos servidores do DataSUS e gerou o comprometimento de informações de saúde de milhões de brasileiros, causando instabilidade no aplicativo ConecteSUS, que reúne registros da vacinação contra o coronavírus. 

Após a identificação das falhas que permitiram o acesso indevido, houve a necessidade de reparos por parte do Ministério da Saúde, para reforçar o nível de segurança e recuperar os registros do aplicativo.

Esse ataque acendeu o alerta para o setor da saúde, fazendo com que inúmeras instituições que ainda não haviam iniciado seus programas de governança, começassem a se movimentar para adequar suas atividades. 

Pelo que se percebe do cenário atual, somente com a elaboração e implementação de um programa de governança em proteção de dados aderente, com a revisão das medidas de segurança para garantir o sigilo das informações que estejam sob guarda e responsabilidade das instituições e reforço das boas práticas para gerar engajamento e aculturamento interno, é possível demonstrar um nível seguro de conformidade.

Por lidar com dados pessoais sensíveis, que podem gerar um nível de exposição extremamente elevado aos titulares, as instituições de saúde precisam se manter vigilantes quanto às regras de proteção de dados e segurança da informação, vez que se encontram como alvo principal dos ciberataques. As empresas ligadas ao setor de saúde estão entre as mais visadas para ataques cibernéticos, superando o setor de varejo que foi altamente afetado nos últimos anos.

Os cibercriminosos sabem que os ataques que envolvem dados de pacientes podem afetar a continuidade dos atendimentos médicos e, em razão disso, caso não haja um backup atualizado e medidas de segurança capazes de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais, numa tentativa de ransomware, por exemplo, há uma possibilidade de cobrarem valores elevados para o resgate de tais informações.

Pesquisa divulgada pela Check Point Research (CPR), referente ao terceiro trimestre de 2022, mostra que a saúde é o setor mais atingido por ataques cibernéticos no Brasil, sendo que uma em cada 42 organizações foi afetada por um ransomware. Em média, as organizações foram atacadas 1.484 vezes semanalmente, um aumento de 37% comparado ao período do terceiro trimestre de 2021. 

Para proteger suas informações, é importante que as empresas do setor de saúde implementem medidas de segurança cibernética rigorosas.

Isso inclui a realização de treinamentos de segurança para todos os funcionários, a instalação de software de segurança atualizado em todos os dispositivos e a criação de políticas rigorosas de senhas, controle de acessos e gestão de ativos. 

Além disso, é importante monitorar constantemente as atividades de rede e contar com uma equipe de segurança cibernética para monitorar as ameaças e responder rapidamente a qualquer incidente. Em conjunto com o Data Protection Officer (DPO), esses profissionais têm o conhecimento e a habilidade para proteger as informações sensíveis e garantir a continuidade dos negócios.

Estar atento às novidades tecnológicas e implementar as medidas adequadas obviamente que não é garantia de que a empresa não sofrerá um incidente, assim como a adoção de boas práticas. Porém, a boa-fé do agente de tratamento é um critério atenuante no caso de aplicação de sanções pela autoridade.

Adalberto Fraga Veríssimo Júnior é advogado, graduado em Direito pelo Centro Universitário Filadélfia (UniFil), certificado em proteção de dados pela CertiProf e em segurança da informação (ISO 27001) e proteção de dados (LGPD e GDPR) pela AdaptNow, especialista em Direito Digital e Proteção de Dados pela Ebradi, pós-graduando em Cibersegurança e sócio da Lee, Brock, Camargo Advogados (LBCA) na área de Direito Digital e Novas Tecnologias.

O post Sanções por descumprimento da LGPD pode atingir o setor de saúde apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Recentemente, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que trata da aplicação da LGPD para agentes de pequeno porte, estabeleceu algumas disposições sobre a figura do encarregado. De acordo com a Resolução, algumas organizações de pequeno porte estão livres da obrigação de indicar um DPO, por vezes, onerosa para pequenos negócios^[2].

Porém, há diversas atividades e contextos em que o envolvimento do DPO é recomendável e essencial. A própria Resolução refere que a indicação do DPO para agentes de pequeno porte será considerada política de boas práticas e governança. Por isso, retomar a importância da existência do DPO pode auxiliar os agentes de pequeno porte na interpretação das recentes disposições da Resolução sobre o encarregado.

Para o bom funcionamento do programa de governança em privacidade, é essencial que o encarregado tenha independência para emitir seus juízos e recomendações, de acordo com as situações que lhe são apresentadas. A independência torna viável o posicionamento do encarregado em uma perspectiva de autonomia, sem o viés de ter que apoiar práticas que oferecem muitos riscos devido a um posicionamento mercadológico da organização^[3].

Isso possibilita efetivar a sua atribuição de conciliar os interesses do negócio à proteção da privacidade e aos direitos dos titulares de dados pessoais, minorando riscos relativos à segurança da informação e reputacionais. Assim, a ação independente do DPO é essencial para estruturação da governança e boas práticas em proteção de dados, e na expansão da cultura de privacidade aos colaboradores da empresa.

No mais, o encarregado possui atuação preventiva. Ao agir de modo contínuo e de forma qualitativa, o DPO deverá voltar suas análises à maneira como são tratados os dados pessoais, contribuindo para que lacunas nos processos sejam sanados e incidentes de segurança e violações a dados pessoais sejam evitados^[4].

Já a atuação proativa do DPO contempla, igualmente, a assessoria para revisões contratuais, melhorias de processos de empresas e negócios e, ainda, o direcionamento de soluções para continuidade da adequação à LGPD, a partir do dinamismo das operações com tratamento de dados pessoais.

Por exemplo, é comum que uma empresa, que ainda não passou por um projeto de adequação à LGPD, não possua políticas ou termos relacionados ao tratamento de dados pessoais. Nesse sentido, é parte das atribuições do DPO, nas perspectivas acima referidas, sinalizar sobre a necessidade da criação ou melhoria desses documentos, adequando aqueles já existentes à conformidade.

Isso trará maior segurança e condições de negócio não apenas para fornecedores e parceiros, mas para a credibilidade para a empresa perante a sociedade e clientes.

Além disso, a Guideline on Data Protection Officers (“DPOs”) possibilita identificar essas atuações multifatoriais, a medida em que estabelece primordialmente garantir que o DPO seja informado e consultado desde o início do tratamento de dados pessoais, garantindo evidência da implementação do privacy by design.

Ainda, há a indicação de que o DPO deve ser visto como um elemento-chave das tomadas de decisão, integrando discussões e grupos relevantes que atuam com tratamento de dados pessoais na organização^[5].

Considerando o contexto dos agentes de tratamento de pequeno porte, uma das mudanças estabelecidas pela Resolução CD/ANPD nº 2  é a dispensa da obrigatoriedade de indicação de um DPO, com exceção das hipóteses previstas no art. 3º da normativa^[6].

Em complementação, o art. 11 determina dois aspectos que merecem atenção.  O primeiro deles é que, quando o agente de tratamento não realizar a indicação do encarregado, será necessário disponibilizar um canal de comunicação com o titular de dados (parágrafo 1º do art. 11).

Essa previsão se destina a atender à exigência prevista no art. 41, parágrafo 2º, inciso I da LGPD, ou seja, a atribuição do encarregado de aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e providências. Sendo assim, as empresas de pequeno porte deverão disponibilizar um e-mail ou algum tipo de canal para possibilitar o recebimento de informações e o exercício de seus direitos.

O segundo é a determinação de que, apesar da dispensa de obrigatoriedade, a indicação do encarregado será considerada política de boas práticas e governança para a finalidade da disposição do art. 52, parágrafo 1º, inciso IX da LGPD (parágrafo 2º do art. 11).

De acordo com o dispositivo da LGPD, as sanções administrativas serão aplicáveis pela ANPD considerando a situação em questão, sendo a adoção de política de boas práticas e governança um dos parâmetros de análise para a aferir a atribuição da responsabilização.

Outro aspecto que, de algum modo, se conecta com a previsão do art. 11 é a disposição do art. 16, que indica a possibilidade de que a ANPD determine o cumprimento de obrigações que dispensou ou flexibilizou na Resolução, caso a situação envolva aspectos que motivem a retomada das medidas, tais como natureza ou o volume das operações e riscos para os titulares.

Isso significa que há uma consideração, pela ANPD, de que os agentes de tratamento de pequeno porte estarão inseridos em contextos distintos. Ainda que a estrutura negocial inicialmente oportunize relativizações previstas na LGPD, é possível que outros aspectos justifiquem um retorno ao cumprimento, o que também pode se aplicar para as hipóteses do encarregado.

Da análise da normativa, é possível compreender que apesar da dispensa da obrigatoriedade, a importância da existência do DPO e suas atribuições não foi desconsiderada pela ANPD na Resolução.

Pelo contrário, ao considerar a opção de possuir um DPO uma de boa prática de governança, a ANPD conecta a existência da figura aos critérios interpretativos de análise para determinação de eventuais sanções administrativas, o que pode ser crucial no plano de mitigação de riscos das empresas de pequeno de porte, a depender da realidade das operações com tratamento de dados pessoais.

Assim, o DPO não deve ser compreendido como um elemento acessório, mas parte de uma organização empresarial comprometida com a privacidade e proteção de dados, aliado à estrutura de um comitê de privacidade.

Contar com a figura do encarregado entre os agentes de tratamento de pequeno porte é um aspecto a  ser considerado, uma vez que, a depender do caso, a indicação se tornará uma medida proativa e estratégica de precaução e prevenção na estrutura de conformidade à privacidade e proteção de dados.

—

Sobre os autores

Caio Matias Borba é especialista em proteção de dados e compliance, DPO certificado pela ITCERTS e Certified Expert in Compliance (CEC) – Instituto ARC e advogado da Lee, Brock, Camargo Advogados.

Mateus Reis dos Santos Alves  é Pós-graduando em Direito Digital UERJ/ITS e  advogado da Lee, Brock, Camargo Advogados.

Bruna Marques da Silva  é Mestre  em Direito pelo Programa de Pós-graduação em Direito da Unisinos. Pós-graduanda em Direito Digital e Proteção de Dados e  advogada da Lee, Brock, Camargo Advogados.

^[1] BRASIL. Autoridade Nacional de Proteção de Dados. Órgão: Presidência da República. Portaria nº 11 de 27 de janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 09 fev. 2022.

^[2] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2 de 2 de janeiro de 2022. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.

^[3] CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL). CENTRO DE DIREITO, INTERNET E SOCIEDADE (CEDIS-IDP). O Papel do/a Encarregado/a conforme a Lei Geral de Proteção de Dados Pessoais (LGPD). 2021. Disponível em: – https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/[pt]_cipl-idp_paper_dpo_under_the_lgpd__27_sept_2021_.pdf. Acesso em: 09 fev. 2022.

^[4] INFORMATION COMISSIONER’S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). Data Protection Officers. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/#ib7. Acesso em: 09 fev. 2022.

^[5] ARTICLE 29 WORKING PARTY. European Comission. Guidelines on Data Protection Officers (‘DPOs’). 2016. Disponível em: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf. Acesso em: 09 fev. 2022.

^[6] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2, de 2 de janeiro de 2022.     . Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.

O post Quem efetivamente conhece o papel do Encarregado de Dados? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.