Dos sete primeiros investigados, seis são órgãos públicos e outro é uma empresa privada
Laura Ignacio
A Autoridade Nacional de Proteção de Dados (ANPD) publicou a relação dos sete primeiros investigados — seis órgãos públicos e uma empresa privada — em processos administrativos abertos para a aplicação de sanção por suposta violação à Lei Geral de Proteção de Dados (LGPD). Há mais de mil denúncias e dezenas de processos de fiscalização em andamento na ANPD.
A multa por violação à LGPD pode chegar a R$ 50 milhões na esfera privada. Já o setor público pode sofrer: advertência com prazo para adoção de medidas corretivas; dar publicidade à infração após apurada e confirmada; o bloqueio ou eliminação dos dados pessoais a que se refere a infração; a suspensão do funcionamento do banco de dados relativo à infração, entre outros.
“Não há mais óbices à aplicação da lei. Com a regulamentação da dosimetria [Resolução nº 4], portanto, a ANPD já está agindo e pode vir a aplicar sanções”, afirma Marcelo Cárgano, do escritório Abe Advogados.
Em live realizada pela ANPD, recentemente, o coordenador-geral de fiscalização da ANPD, Fabricio Lopes, afirmou que “vai concentrar seus esforços nos maiores agentes de tratamento de dados, mesmo que a empresa não tenha porte grande, mas que lide com alto volume de dados, como uma startup”.
Além do nome do envolvido, a Coordenação-Geral de Fiscalização (CGF) da ANPD divulgará a conduta que levou ao processo, a fase em que se encontra e o seu número. Após decisão final na esfera administrativa, se for confirmada punição, de acordo com a Lei nº 13.709, de 2018, a LGPD, esta também será pública.
Por enquanto, todos os processos administrativos instaurados pela ANPD estão na fase inicial, de instrução para juntada de provas, entre documentos e testemunhas. O Ministério da Saúde já responde em dois processos administrativos (processos nº 00261.000456/2022-12 e nº 00261.001882/2022-73), ambos instaurados em 2022.
Conforme divulgado no site da ANPD, os investigados nesses processos são, além do Ministério da Saúde, a Telekall, o Instituto de Pesquisas Jardim Botânico do Rio de Janeiro, a Secretaria de Educação do Distrito Federal, a Secretaria de Estado da Saúde de Santa Catarina, o Instituto de Assistência ao Servidor Público Estadual de São Paulo (Iamspe) e a Secretaria de Desenvolvimento Social, Criança e Juventude de Pernambuco.
Chama a atenção dos especialistas que a maioria dos processos envolve o setor público. Além disso, a ausência de comunicação aos titulares dos dados sobre incidentes de segurança é a infração mais comum. “Os holofotes voltados ao setor público podem indicar, para empresas que atuam em conjunto com essas entidades, que este é o momento para reforçar os controles ou medidas adotados para o cumprimento da LGPD”, afirma Pedro Sanches, sócio do Prado Vidigal Advogados.
A única empresa privada da lista, a Telekall, do setor de telemarketing do Espírito Santo, é investigada por: ausência de comprovação de hipótese legal, ausência de registro de operações, não envio de Relatório de Impacto de Proteção de Dados, ausência de encarregado de dados pessoais e não atendimento à requisição da ANPD (processo nº 261.000489/2022-62).
Essa transparência da LGPD é elogiada por especialistas. Para Henrique Cunha, sócio no dcom Advogados, processos administrativos precisam ser públicos. Além disso, por meio dessa divulgação, diz ele, a ANPD mostra ao mercado que o tema avança internamente no órgão e que está preocupada em apresentar resultados. “E o mercado pode compreender o que será exigido das empresas para termos mais segurança na tomada de decisões.”
Apesar desta divulgação feita pela ANPD estar prevista na própria LGPD, empresas podem tentar pedir sigilo sobre o processo administrativo em curso. “Existe tanto a possibilidade da própria ANPD aplicar sigilo na investigação, como do fiscalizado pedir de forma fundamentada a aplicação do sigilo de informações e documentos, o que será avaliado pela comissão de fiscalização”, diz a advogada Patricia Peck, sócia e especialista do Peck Advogados.
Após a instrução processual, em que há a possibilidade de manifestação da ANPD, entidade reguladora setorial e do acusado, a primeira instância decide. “O autuado poderá recorrer, interpondo recurso administrativo ao Conselho Diretor no prazo de 10 dias contados da intimação da decisão”, diz Cunha.
Por meio de nota, o Ministério da Saúde informou que, com relação ao processo 00261.000456/2022-12, a apuração refere-se a um suposto incidente de segurança da informação ocorrido em 10/12/2021, no site do Ministério da Saúde. No que tange ao outro processo, nº 00261.001882/2022-73, o incidente em apuração refere-se a uma vulnerabilidade identificada no sistema do Ministério da Saúde, em 03/05/2022.
“Em ambos os casos, segundo informações prestadas nos autos, não foram identificados vazamentos de informação ou alteração de dados da população”, informou a pasta.
Fonte: Valor Econômico, 23 de março de 2023