Empresas notificadas pela ANPD: infrações à LGPD e seus efeitos
Por Lucas Martins de Barros Mançano e Yago Morgan
Nos últimos anos, a Autoridade Nacional de Proteção de Dados (ANPD) enfrentou diversas críticas devido à sua abordagem majoritariamente orientativa e à aplicação limitada de penalidades. Essa postura inicial foi atribuída à recente formação da agência, além da falta de recursos para uma fiscalização mais eficaz. No entanto, em 2024, notou-se uma mudança significativa, com a ANPD adotando uma postura mais rigorosa em suas ações de supervisão e na imposição de sanções.
Um exemplo emblemático ocorreu em julho de 2024, quando a agência determinou a suspensão cautelar do tratamento de dados pessoais pela Meta para o treinamento de sistemas de inteligência artificial. A ANPD constatou indícios de tratamento inadequado dos dados, falta de transparência e riscos potenciais para crianças e adolescentes, resultando na suspensão imediata da nova política de privacidade da empresa no Brasil. Entre os principais motivos para as notificações estavam a falta de um encarregado pelo tratamento de dados pessoais - o chamado Data Protection Officer (DPO) -, e a inexistência de canais de comunicação apropriados para atender os titulares de dados.
Além disso, a ANPD impôs suas primeiras sanções em 2024, incluindo advertências por infrações leves, como a ausência de um Registro de Operações de Tratamento (ROT) e a não apresentação de um Relatório de Impacto à Proteção de Dados (RIPD), quando solicitado pela autoridade. Essas ações refletem a transição para uma abordagem mais incisiva da ANPD, alinhada às crescentes expectativas por um controle mais rigoroso e responsabilidade no tratamento de dados pessoais no país.
Com essa nova fase de atuação, espera-se que a ANPD intensifique suas fiscalizações, direcionando seus esforços para setores considerados de alto risco e com volume significativo de tratamento de dados. A agência deve também intensificar a aplicação de sanções, conferindo o enforcement necessário à lei, e indicando para o mercado a necessidade se tratar com responsabilidade os dados pessoais que lhes são confiados. A consolidação da ANPD como um órgão regulador efetivo é essencial para aumentar a confiança da população na proteção de seus dados e promover um ambiente de negócios mais seguro e transparente.
Nesse sentido, em dezembro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) notificou vinte empresas de grande porte por violarem as obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD). Entre as empresas mencionadas destacam-se nomes conhecidos como TikTok, Dell, Latam Airlines, Serasa, Vivo, Telegram e Uber, indicando um novo momento da Agência, que até então estava focada na edição de guidelines e na orientação do mercado de maneira geral; e agora demonstra direcionar o foco para fiscalização das empresas.
A LGPD, em seu artigo 41, exige que todas as organizações nomeiem um encarregado pelo tratamento de dados. Este profissional desempenha um papel crucial como intermediário entre a empresa, os titulares dos dados e a ANPD, assegurando que a organização implemente práticas adequadas de proteção de dados e monitore a conformidade com as normas previstas na legislação. A ausência de um encarregado pode acarretar uma série de consequências negativas, especialmente no que diz respeito à transparência e ao acesso das pessoas a informações sobre como seus dados pessoais são tratados.
Outro aspecto alarmante apontado pela ANPD foi a carência de canais de comunicação acessíveis, que são essenciais para que os titulares possam exercer direitos estabelecidos pela LGPD, como realizar solicitações de acesso, correção ou eliminação de informações. Quando esses canais não estão adequadamente implementados, os titulares enfrentam dificuldades para compreender o uso de seus dados e, consequentemente, podem ser impedidos de exercitar seus direitos. Essa carência também aumenta a vulnerabilidade dos indivíduos a riscos, como vazamentos de dados e uso indevido de suas informações pessoais.
Para as companhias, o não cumprimento da LGPD também traz consequências consideráveis. Além das multas, as quais podem alcançar 2% do faturamento anual, limitadas a R$ 50 milhões por infração, há também danos reputacionais significativos. Empresas noticiadas publicamente sofrem prejuízos na imagem, ocasionando impactos sobre a confiança dos clientes e dos parceiros comerciais. Além disso, o descumprimento da razão de ser do encarregado demonstra deficiência na governança de dados, expondo as companhias a riscos operacionais e legais ainda maiores.
A notificação da ANPD reitera a relevância da adequação à LGPD, visando tanto à proteção dos dados pessoais dos indivíduos, como para a forte construção da relação de confiança em relação aos clientes e stakeholders. Empresas que ainda não se adequaram à legislação devem priorizar as ações de conformidade, incluindo gestão de dados com a nomeação do encarregado e criação de canais de comunicação eficiente e acessível.
Sobre os autores
Lucas Martins de Barros Mançano – Advogado, especialista em LGPD pela Data Privacy Brasil e analista jurídico do escritório YMorgan Advocacia e Consultoria. Possui experiência em projetos de governança de dados, tendo atuado no projeto de implementação de diversos projetos na administração pública.
Yago Morgan – Advogado, diretor-executivo na YM Security LTDA, possui LLM em Direito Empresarial pelo IBMEC/DF em parceria com Loyola University of Chicago. Possui em MBA em Civersegurança pela FIAP/SP. Reúne vasta experiência em projetos de governança de dados voltados para órgãos da administração pública, tendo atuado como Encarregado da proteção de dados em alguns desses projetos. É certificado pela ABNT como Lead Implementer da família ISO 27001.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
<::::::::::::::::::::>