Recursos limitados travam a capacidade da ANPD de manter o ritmo de apurações de outubro, quando mais processos foram abertos do que em todo o ano anterior. Caso é ‘extraordinário’, segundo autarquia.
Fiscalizar e apurar a conduta de empresas em casos de comprometimento de dados pessoais, como vazamentos de informações ou ataques hackers, é uma das principais funções da Autoridade Nacional de Proteção de Dados (ANPD). Em outubro, um caso considerado “extraordinário” pela própria entidade levou à abertura de um número inédito de fiscalizações, mais do que o apurado em quatro anos de existência da autarquia.
Nas duas primeiras semanas de outubro, a ANPD deu início a 21 processos de apuração de incidentes de segurança, que se somaram a outros dez procedimentos abertos desde janeiro deste ano. Ao todo, são 31 abertos em 2024.
A intensificação da atuação, que chamou a atenção de escritórios de advocacia que lidam com a Lei Geral de Proteção de Dados (LGPD), chegou a levantar especulações se a autoridade iria endurecer sua atuação fiscalizatória daqui para frente, algo que não deve acontecer, segundo a própria ANPD. O caso também levanta discussões sobre as limitações que a autoridade de dados enfrenta.
Quase todos os processos de investigação de incidentes são mantidos sob sigilo, com poucas exceções. No portal da ANPD, é possível, em alguns casos, identificar quem são os investigados. A onda mais recente de apuração envolve empresas do setor de saúde, como Unimed Sorocaba, Unimed Franca, Hospital Infantil Sabará e MV Saúde Digital.
Desde janeiro, também foram abertos dois processos que têm a Caixa Econômica Federal como foco e um com incidentes envolvendo o INSS.
Em quatro anos, uma empresa multada
O recebimento dessas comunicações é fundamental para atuação da autoridade, que tem uma abordagem regulatória “responsiva”, ou seja, que age em resposta a comunicações feitas por empresas ou denúncias de incidentes. Cabe à autarquia avaliar o risco ou dano aos titulares de dados em cada caso para então determinar se é necessária a abertura de um processo sancionador, que pode gerar multa.
Quando a ANPD descobre por outros meios um incidente sobre o qual não foi comunicada pelas empresas, é então aberta a apuração de incidentes de segurança, como no caso do último mês. Com os novos procedimentos, a autarquia soma 46 investigações desse tipo desde que foi criada.
Lopes defende que a abordagem tem sido eficaz, já que a maioria das empresas que comunica incidentes à ANPD segue as orientações da autoridade, o que evita a necessidade de processos sancionadores.
No caso de processos que apuram conformidade da LGPD, a entidade soma um total de 17 processos em andamento. Meta e X, por exemplo, são investigadas pelo uso de dados em treinamentos de IA, enquanto bancos como Itaú, Santander e Bradesco enfrentam apurações relacionadas a dados para empréstimos consignados.
Em quase quatro anos de atuação, no entanto, apenas uma empresa foi multada por violação à lei de dados, em um caso distante das big techs ou de grandes bancos. O alvo foi uma microempresa de telecomunicações chamada Telekall Infoservice. A sanção aconteceu em 2023, com uma multa de R$ 14,4 mil.
Instagram: @carlospintoadv
Linkedin: linkedin.com/company/carlospintoadvocaciaestrategica
Acompanhe nosso blog para mais informações, se tiver dúvidas ou precisar de orientação específica, entre em contato com nossos especialistas.
Comentários Facebook