Processos de fiscalização em andamento na ANPD - Autoridade Nacional de Proteção de Dados - expõe as marcas

   Processos de fiscalização em andamento na ANPD (Autoridade Nacional de Proteção de Dados) expõe as marcas como se todas tivessem cometido o mesmo tipo de violação

 

A ANPD (Autoridade Nacional de Proteção de Dados) precisa estar junto do mercado para ajudar na jornada de conformidade. Os efeitos negativos reputacionais podem prejudicar a Marca em casos que são de baixa gravidade colocados junto dos de alta violação. Exemplo: uma pessoa que tem sua foto tirada num depoimento que foi dar em uma delegacia e essa foto é colocada ao lado de um assassino. O que causa na imagem pública?

Os primeiros casos no site da ANPD não apresentam critérios claros de escolha da Autoridade para definir a ordem de prioridade da fiscalização. Das mais de 7 mil denúncias recebidas na ouvidoria, mais de 1.200 viraram processos fiscalizatórios e agora mais de 20 instituições estão respondendo ainda em fase inicial de fiscalizações investigativas. Mas isso traz ainda mais impacto. Pois nem é Processo Sancionador.

Diferente de outras autoridades de outros países, a ANPD classificou os casos de forma genérica como verificação de conformidade do tratamento de dados pessoais. Mas isso além de não atender ao princípio da transparência, coloca a todos no mesmo nível de enquadramento perante os olhares da opinião pública.

O site Law GDPR Enforcement Tracker traz uma visão geral das multas e penalidades que as autoridades de proteção de dados na União Européia (UE) impuseram sob o Regulamento Geral de Proteção de Dados da UE (GDPR, DSGVO). Ela apresenta pelo menos um tipo de análise de conformidade para quem lê e consiga discernir os níveis de problema, com a finalidade de não expor as marcas como se todas tivessem cometido a mesma violação.

Não se pode comparar um caso de análise de tratamento de base legal para uso de CPF dentro de um modelo de negócio de indústria, com um caso de mega vazamento por violação de segurança que traz consequências danosas para todos com efeitos colaterais de aumento de fraude e riscos e danos relevantes para os indivíduos. Não se pode colocar na mesma página e medida de prioridade a análise de um caso sobre aviso de política de privacidade ou prazo de atendimento de direito de titular a um caso em que há perda de dados com prejuízo incalculável devido a sequestro de dados e inexistência de medidas protetivas de segurança. Ou ainda um caso em que haja falta completa de atendimento de solicitações da Autoridade, inexistência de Encarregado, que são requisitos da lei formal, como do artigo 41. Pois senão o DPO (Data Protection Officer) que foi nomeado imagina o que mais não está em conformidade. Então, neste quesito, a ANPD poderia melhorar imediatamente e seguir as referências internacionais, conforme foi apresentado pelo CNPD (Comissão Nacional de Proteção de Dados) na pesquisa de Benchmakring entregue pelo GT2 conduzida em 2022 sob a minha coordenação como Conselheira Titular.

Há poucas informações. Só as partes habilitadas podem saber mais. Isso é oposto do que os DPA (Diretoria de Polícia Administrativa) estrangeiros fazem que pelo menos mencionam os artigos que se refere a instauração da investigação e do processo sancionador: refere art. 6 (princípios), artigos 8 e 9 (políticas e consentimento), artigos 7 e 11 (bases legais), artigo 10 (legítimo interesse), artigo 14 (criança e adolescente), artigos 18 e 19 (direitos titulares), artigo 41 (Encarregado), artigo 46 (medidas técnicas segurança). Teriam que citar isso. Alguns dos mais de 20 casos envolvem todas estas violações de artigos. O que significa que teremos muito provavelmente a possibilidade de aplicação da multa máxima por gravidade alta.

 

Patricia Peck - professora de Direito Digital da ESPM, sócia do Peck Advogados e Conselheira do CNPD - Comissão Nacional de Proteção de Dados.