ANPD e investigação de vazamento de dados

Leandro Luiz Rodrigues de Souza

Com a entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18) inicia as atividades da Autoridade nacional de Proteção de Dados, entretanto surge a dúvida das atribuições deste órgão.

sexta-feira, 5 de março de 2021

 

Criada há pouco mais de dois meses, a Autoridade Nacional de Proteção de Dados-ANPD, entidade responsável pela fiscalização, elaboração de normas e pareceres, dentre outras atividades que visam proteger os dados pessoais de acordo com a Lei Geral de Proteção de Dados - LGPD, já tem seu primeiro desafio.

O artigo 55 da lei 13.709/18 prevê a criação da Autoridade Nacional de Proteção de Dados com autonomia técnica e funcional para a fiscalização do tratamento de dados sejam em empresas privadas, quanto em empresas públicas.

Sua estrutura regimental foi regulamentada pelo decreto 10.474/20, englobando suas finalidades e competências no artigo primeiro e seguintes, bem como sua estrutura organizacional e competências.

1. O que é a Lei Geral de Proteção de Dados

Antes de entrarmos propriamente nas faculdades da ANPD importante fazer uma breve explanação da lei que lhe originou.

De forma didática a lei 13.709/18 trata-se de legislação que determina como dados de uma pessoa são coletados e tratados e caso não estejam dentro das normas estabelecidas nesta lei, as empresas poderão sofrer sanções civis, penais e administrativas.

Inspirada na GDPR, que é conjunto de regras sobre proteção de dados da União Europeia, que possui rigoroso controle de tratamento de dados, seja em caráter interno, quanto em caráter externo em negociações de comércio exterior.

Nossa Lei possui 65 artigos distribuídos com conceitos, natureza, tipo de dados, competência de criação da ANPD dentre outras atribuições de proteção de dados pessoais.

Além da GPDR podemos fazer menção a várias leis que foram criadas nos últimos anos no qual fazemos breves comentários em ordem cronológica:

1948 - Declaração Dos Direitos Humanos, em especial o artigo 12 que protege o direito à privacidade do ser humano;

1974 - privacy act que foi criada em conjunto no Senado e Câmara Norte-Americano, no qual tinha como objetivo a restrição de compartilhamento de informações entre agências governamentais;

1983 - Corte Constitucional da Alemanha reconhece o direito fundamental a autodeterminação da dignidade humana e ao livre desenvolvimento da personalidade(observemos o artigo 1º da LGPD);

1988 - A promulgação da nossa Constituição Federal, em especial o artigo 5º, inciso X  que determina o direito a inviolabilidade.

1990 - Código de Defesa do Consumidor que lança regras quanto ao banco de dados no artigo 43.

Como podemos ver , sempre tivemos proteção dos nossos dados, procurando evitar vazamentos de informações para se evitar fraudes, estelionatos, dentre outros.

Nossas empresas públicas e privadas a partir de agora somente podem coletar nossos dados com expresso consentimento do seu titular. Lembrando que esta solicitação deve ser clara e objetiva, sob pena de incorrer em sanções da LGPD.

Em caráter geral, a Lei geral de Proteção de Dados veio para acabar ou pelo menos diminuir o uso abusivo dos dados de cada cidadão, sejam eles pessoais ou sensíveis conforme descreve o artigo 5º da lei.

Fazendo esta breve explanação chegamos à aquela pergunta: "Quem fiscalizará tudo isto?"

2. Autoridade Nacional de Proteção de Dados e o vazamento de dados

Quantas vezes ficamos atordoados com notícias de vazamento de dados em sites como Facebook, Amazom Prime , dentre outros. Mesmo com o Marco Civil da Internet, não existia até o momento uma lei clara e objetiva que visava proteger amplamente os nossos dados.

Com o advento da lei 13.709/18 isto ficou regulamentado. A partir de agora as empresas que não possuem programa devidamente forte para proteger os dados dos cidadãos, bem como análise de margem de riscos do armazenamento destes dados e o objetivos destes, estará passível de punibilidade.

No último dia 10 de fevereiro, tivemos a notícia de cem milhões de CPF's, números de telefone, tempo de duração de chamadas, dentre outras funcionalidades tornaram-se indevidamente públicos.

A Lei Geral de Proteção de Dados (13.709/18) que visa proteger todas as informações pessoais de cada cidadão, criou em seu artigo 5º, a Autoridade Nacional de Proteção de Dados (ANPD), regulamentada pela medida provisória 869/18 e agora estruturada pelo decreto 10.474/20.

Dentre as atribuições da ANPD, está a solicitação de relatórios e acompanhamento de processos de recolhimento e armazenamento de dados, garantindo assim, que as empresas estejam de acordo com a LGPD.

O foco da ANPD será fiscalizar as diretrizes da LGPD, que possui Princípios de Direitos e Garantias Fundamentais, esculpidos no artigo 5º da Constituição Federal, tais como: direito à privacidade, sigilo de dados, proteção a honra e imagem. Além destes, não pode deixar de mencionar a proteção da personalidade, constante no Código Civil de 2002, dentre outras legislações especificas, como o Código de Defesa do Consumidor.

Vazamentos como este, recentemente ocorrido, dos dados telefônicos, em conjunto com milhões de CPF's dos brasileiros, que, praticamente, engloba toda a população nacional, deixam claro e evidente que haverá participação eficaz desta Agência no cotidiano das empresas.

As fiscalizações voltadas para proteção de dados já se iniciaram e prometem ficar ainda mais rigorosas, com o início da aplicação de multas e sanções previstas na lei, a partir de agosto do corrente ano (2021).

Além disto a ANPD por meio da portaria 11/21 publicou sua Agenda Regulatória aprovada pelo seu Conselho Diretor. Esta agenda, válida para os anos 2021/2022, nos traz os 10 temas prioritários para esse período de vigência, que serão orientados por meio de portarias, resoluções ou guias de boas práticas.

Dentre os 10 temas importante frisar a regulamentação do artigo 55 - J da LGPD que prevê o tratamento diferenciado para proteção de dados e privacidade para empresas de pequeno e médio porte, bem como startups e pessoas físicas que tratam dados pessoais com fins econômicos. Tal medida está como priorização da Fase 1 e acontecerá na primeira parte deste ano.

Portanto, é importante que as empresas, sejam de pequeno, médio ou grande porte, públicas ou privadas, tenham ciência da urgência em se adequar às normas da Lei Geral de Proteção de Dados, a fim de evitar sanções e responsabilidades civis, criminais ou administrativas pelo vazamento de dados pessoais, bem como criando mecanismos eficazes para tal proteção.

 

Atualizado em: 5/3/2021 09:49

 

 

Leandro Luiz Rodrigues de Souza

Sócio do escritório Chalfun Advogados Associados nas bancas de Direito Penal, Previdenciário e Especialista em LGPD.