Novas obrigações às empresas com mais de 100 funcionários devem ser informadas até 29/02
6 de fevereiro de 2024
Domicílio Judicial Eletrônico: uma nova exigência para as empresas
29 de fevereiro de 2024
A Autoridade Nacional de Proteção de Dados abriu sua agenda de trabalhos para o ano de 2024 com bastante movimentação, demonstrando que os assuntos envolvendo privacidade e a proteção de dados no Brasil devem assumir seu lugar de importância não somente pelos entes privados, mas também pela própria administração pública.
Ainda no mês de janeiro, a ANPD aplicou penalidades significativas em face de violações à Lei Geral de Proteção de Dados Pessoais (LGPD), dessa vez envolvendo o Instituto Nacional de Seguro Social (INSS) e a Secretaria de Estado de Educação do Distrito Federal (SEEDF).
Em suma, o INSS foi penalizado por não comunicar adequadamente um incidente de segurança que comprometeu o Sistema Corporativo de Benefícios, expondo dados sensíveis de pensionistas e aposentados. Como medida corretiva, a ANPD determinou a publicização da infração, exigindo que o INSS divulgue o ocorrido em destaque em seu site por 60 dias.
Já a SEEDF enfrentou sanções por várias violações à LGPD, incluindo a falta de registros de operações de dados pessoais e a omissão na comunicação de incidentes de segurança aos titulares. A ANPD aplicou advertências como sanção para essas violações.
Além disso, a ANPD, por sua Coordenação Geral de Fiscalização (“CGF”) emitiu ainda neste mês de janeiro, uma Nota Técnica sobre o Processo de Fiscalização (PF) instaurado em 19/08/2022, em face das do Banco Itaú, Banco Pan, Banco Santander e Banco Bradesco, para investigar o compartilhamento de dados pessoais de beneficiários do INSS para oferta de empréstimo consignado e outros serviços de crédito feito por instituições financeiras e correspondentes bancários.
Conforme consta neste documento, a CGF teria recebido diversos requerimentos de titulares de dados no período de janeiro de 2021 a outubro de 2023, contendo reclamações como “Contato não solicitado”, “Dificuldade em exercer direito de eliminação de dados (inclusive tratados com consentimento)”, “Compartilhamento indevido de dados pessoais e/ou sensíveis” e “Acesso indevido a dados pessoais”.
Finalmente, a CGF sugeriu a individualização dos processos fiscalizatórios em relação a cada uma das instituições financeiras acima citadas, bem como a expedição de Solicitação de Regularização para que os referidos agentes de tratamento apresentem hipótese legal válida para tratamento de dados na oferta ativa de serviços de créditos aos beneficiários do INSS em 20 dias.
Como podemos inferir, as penalidades que as organizações vêm sofrendo desde o ano passado, tem relação com a falta de implementação de medidas administrativas previstas na legislação de proteção de dados, tais como falta de indicação de encarregado de proteção de dados (DPO), ausência de registros de operação de tratamento de dados (ROPA), falta de plano de respostas a incidentes de segurança, falta de transparência em relação aos titulares acerca das finalidades de uso e compartilhamento dos dados pessoais, entre outros.
Se por um lado as empresas públicas, em sua maioria dos casos, vêm sofrendo advertências por parte da ANPD, é certo que as empresas privadas serão de fato penalizadas por meio da aplicação de multas pecuniárias por deixarem de observar os princípios e determinações da LGPD.
Neste caso, é crucial que as organizações priorizem a adoção dessas medidas administrativas e de segurança a fim de garantir a conformidade com a LGPD em suas práticas diárias.
O escritório EMERENCIANO, BAGGIO & ASSOCIADOS – ADVOGADOS vem assessorando seus clientes na adequação de suas atividades e rotinas à legislação de proteção de dados vigente, a fim de evitarem os prejuízos decorrentes da aplicação de penalidades por parte das autoridades.
