Notícia - Como a ANPD vem fiscalizando a Lei Geral de Proteção de Dados? Entenda
Área: Pessoal Publicado em 06/01/2025Fonte: Jornal Valor Econômico
Entre 2021 e 2024, seu quadro de servidores cresceu de 50 para 141.
A Autoridade Nacional de Proteção de Dados (ANPD) , autarquia responsável pela fiscalização do cumprimento da Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709, de 2018 - no país completou quatro anos. Desde que foi criada, a ANPD já analisou e concluiu ao menos 20 processos de fiscalização, assim como emitiu sanções em, no mínimo, seis processos administrativos.
Segundo balanço realizado pela própria autarquia, entre 2021 e 2024, seu quadro de servidores cresceu de 50 para 141 servidores/empregados públicos.
Existem dois tipos principais de requerimentos recebidos pela ANPD: petições de titular que teve seus direitos sobre dados pessoais violados e denúncias de supostas infrações à LGPD por terceiros.
Em 2024, a ANPD registrou um aumento significativo no número de ambos os tipos de requerimentos. Na comparação por trimestres, houve registro de 160 denúncias e 108 petições no primeiro tri, 245 denúncias e 103 petições no segundo, e 1.173 denúncias e 326 petições no terceiro.
Além disso, até setembro de 2024, a ANPD recebeu um total de 1.063 Comunicados de Incidentes de Segurança (CIS), que estão em processo de análise. Desse total, 250 incidentes foram reportados no ano de 2024. De janeiro de 2023 a setembro de 2024, os três incidentes mais comuns foram: sequestro de dados (ransomware), sem transferência de informações; sequestro de dados (ransomware) com transferência e/ou publicação de informações, e exploração de vulnerabilidade em sistemas de informação.
Abaixo o especialista Felipe Palhares, sócio da área de Proteção de Dados e Cybersecurity do BMA Advogados, responde a cinco perguntas do Valor sobre a atuação da ANPD:
1 - A ANPD tem cumprido seu papel? Como as fiscalizações da aplicação da LGPD têm acontecido?
Sim, mas a atuação da ANPD tem focado inicialmente na regulamentação de temas pendentes, que foram previstos na LGPD, mas que exigem regulamentação específica. Alguns exemplos são a elaboração de Relatórios de Impacto à Proteção de Dados, a comunicação de incidentes de segurança e a nomeação de encarregados. Em 2024, a ANPD reforçou seu papel fiscalizatório, tendo conduzido casos relevantes especialmente contra empresas de tecnologia.
2 - A ANPD já abriu diversas audiências públicas para ouvir a sociedade antes de emitir regulamentações. Isso tem funcionado?
Consultas públicas e audiências públicas têm sido realizadas em virtude da exigência legal prevista na LGPD, que determina que tais atos devem ser realizados antes da edição de regulamentos ou normas pela ANPD. O que se observa na prática, no entanto, é que as contribuições realizadas frequentemente não são incorporadas pela ANPD na versão final de suas normas. Em alguns casos, há inclusive divergência de visões entre a equipe de projeto responsável pela estruturação da minuta das normas e o Conselho Diretor da ANPD.
3 - Uma das mais recentes fiscalizações de grandes empresas foi relativa ao encarregado "DPO". Quais dificuldades as empresas têm tido nesse quesito?
A maior dificuldade é entender o que a ANPD espera do mercado. Por mais que a Autoridade tenha editado um regulamento sobre a atuação do Encarregado e um guia orientativo sobre o tema, ambos documentos não trazem clareza a respeito de dúvidas frequentes dos agentes de tratamento, como, por exemplo, o que seria considerado conflito de interesses na nomeação de Encarregados.
A prática corriqueira do mercado tem sido indicar como Encarregado pessoas que possuem outros papéis dentro da empresa, como diretores jurídicos ou diretores de segurança da informação. Em virtude do novo regulamento, essas nomeações talvez precisem ser revistas, considerando as orientações da ANPD sobre potenciais conflitos de interesse.
Outro ponto que chama atenção é a criação de uma obrigação não prevista na LGPD, de nomeação de Encarregado substituto, gerando maior ônus burocrático para as organizações.
4 - Como está a aplicação de sanções pela ANPD e a defesa das empresas?
Com exceção da primeira sanção imposta pela ANPD, aplicada contra um pequeno empresário, até o momento todas as outras foram impostas contra órgãos públicos, primordialmente por falhas na comunicação de incidentes de segurança. No fim de 2024, a ANPD instaurou um processo sancionador contra o TikTok, que ainda está em curso e deve ser decidido este ano.
5 - O que ainda se espera da ANPD? Podemos dizer que a LGPD é uma lei que "pegou"?
Não há dúvidas de que a LGPD pegou. Basta observar como o mercado vem tratando o tema privacidade e proteção de dados, que deixou de ser um ponto pouco relevante e se tornou assunto essencial para qualquer organização, especialmente diante do crescimento vertiginoso de ataques cibernéticos realizados contra empresas brasileiras nos últimos anos.
Para 2025, a expectativa é que a ANPD intensifique ainda mais suas ações de fiscalização e de repressão a condutas que não estejam alinhadas à legislação.
