Aplicação da LGPD em números

  • Ações Judiciais

A Lei Geral de Proteção de Dados Pessoais (LGPD) completa 5 anos em 2023, apresentando avanços e desafios na sua implementação. Publicada em 14 de agosto de 2018, sua vigência se deu somente em setembro de 2020 e as suas sanções previstas passaram a valer apenas em agosto de 2021, sendo, portanto, uma lei de aplicação recente. Diante da sua importância, ela é cada vez mais citada e presente nas decisões do Poder Judiciário. A partir de uma análise das decisões e entendimentos dos principais tribunais do país é possível identificar certas tendências e perspectivas sobre a norma.

As conclusões apresentadas a seguir foram tiradas de uma amostra de 438 decisões, no período compreendido entre 01/01/2022 e 31/12/2022, publicadas em segunda instância e em instâncias superiores (STJ) dos seguintes tribunais:

– Superior Tribunal de Justiça (STJ);

– Tribunal de Justiça da Bahia (TJBA);

– Tribunal de Justiça de Goiás (TJGO);

– Tribunal de Justiça de Santa Catarina (TJSC);

– Tribunal de Justiça de São Paulo (TJSP);

– Tribunal de Justiça do Distrito Federal e Territórios (TJDFT);

– Tribunal de Justiça do Paraná (TJPR);

– Tribunal de Justiça do Rio de Janeiro (TJRJ).

 

– Como as decisões que envolvem LGPD estão distribuídas pelos tribunais:

Há clara predominância do Tribunal de Justiça do Estado de São Paulo (TJSP) para proferir decisões relacionadas à LGPD, sendo este responsável por 84% das decisões analisadas. Essa preponderância em relação aos demais tribunais – que somam apenas 16% das decisões – se explica por razões majoritariamente técnicas relativas ao sistema utilizado por cada Tribunal de Justiça, além da respectiva capacidade de disponibilização de dados estruturados por tais sistemas. Veja-se a proporção:

 

  • TJSP à 84%
  • TJBA à 3%
  • TJRJ à 2%
  • TJPR à 2%
  • TJDFT à 2%
  • STJ à 1%
  • TJGO à 1%
  • TJSC à 5%

 

 

– Principais constatações e tendências:

 

  1. A maior parte dos processos judiciais relacionados à LGPD não resultaram em condenação:

Aproximadamente 57% das decisões analisadas em segunda ou superior instância que trataram da matéria não resultaram em qualquer condenação (decidiu-se pela improcedência ou extinção do feito).

 

  1. Decisões em segunda ou superior instância que envolvam a LGPD tendem a não gerar obrigações de fazer ou não fazer:

Em 41% dos casos, as condenações somente geraram indenização pecuniária (sem obrigações de fazer ou não fazer). Em 20% dos casos, observou-se que as condenações apenas faziam referência a obrigações de fazer ou não fazer (não houve indenização pecuniária). E em 39% das decisões proferidas, houve condenação a obrigação de fazer ou não fazer e à indenização pecuniária (ao mesmo tempo).

 

  1. No que tange ao tema de cobrança e proteção ao crédito, verificou-se que o compartilhamento de dados pessoais com terceiros para este fim dispensa o consentimento do titular

O compartilhamento de dados pessoais com terceiros, que tem como objetivo específico a cobrança ou proteção ao crédito, é considerado legítimo pelos magistrados em geral, independentemente do consentimento. Em 53% dos casos, houve entendimento expresso no sentido de que o consentimento é dispensado para essa situação. Além disso, quando o mesmo compartilhamento não é considerado legítimo, isso se dá por outros motivos, que não a ausência do consentimento do titular, sendo esse considerado em raras circunstâncias, totalizando apenas 6% dos casos.

 

  1. A ocorrência de desvio de finalidade no tratamento de dados pessoais tem maior risco quando não há a devida transparência perante o titular:

Identificou-se que 82% das situações em que houve tratamento de dados com finalidade inadequada ao contexto geraram algum tipo de condenação. No entanto, nos casos em que as decisões também versaram sobre a falta da devida transparência no tratamento, o número fica ainda maior, totalizando 91% dos casos.

 

  1. Incidentes de dados pessoais não são a maior motivação das ações que chegaram à segunda instância:

45% das decisões em segunda ou superior instância que tratam sobre a LGPD foram motivadas por situações que envolviam cobrança ou proteção ao crédito.

 

  1. Na maior parte dos casos foi necessário comprovar os danos morais, a fim de que houvesse condenação:

A comprovação de dano moral pôde ser observada em 65% das decisões analisadas, o que por si só indica tendência de que ele não possui natureza in re ipsa (presumido). Nos casos de danos morais causados por incidentes, a exigência de comprovação foi ainda maior, ocorrendo em 80% dos casos. Entretanto, se ocasionados por compartilhamento ou divulgação de dados pessoais, o número cai para 45%, ou seja, há dispensa de comprovação na maior parte desses casos.

 

  1. O direito à exclusão é o mais demandado:

No que se refere aos direitos dos titulares (art. 18[1]), verificou-se que o direito à exclusão (incisos IV e VI da LGPD) foi o mais pleiteado, com citação em 64% das decisões, tendo um índice de 97% de condenação.

  

–  Condenações:

 

Dentre as decisões consideradas, extraiu-se alguns padrões de resultados quanto à frequência das condenações. Basicamente, revelou-se que 57% das decisões não resultaram em condenação ou manutenção da condenação, enquanto 43% resultaram.

Além disso, é notável a predominância de condenações pecuniárias (e.g. indenizações) em comparação com as obrigações de fazer ou não fazer (e.g. eliminação de dados pessoais da parte autora), representando 80% das decisões analisadas, o que leva a concluir por uma tendência maior de se levar a juízo ações em que há existência de efetivo dano a ser indenizado em virtude de eventuais fatos ilícitos no tratamento de dados pessoais, abarcando tanto dano material como dano moral.

No entanto, as obrigações de fazer ou não fazer totalizam 59% das decisões então consideradas, o que evidencia a tutela dos direitos dos titulares, quando ameaçados, exercida pela jurisdição contenciosa, independentemente de haver a necessidade de indenização por possíveis ilícitos relativos a tratamento de dados pessoais.

Destaca-se, ainda, que em 39% das decisões, houve condenação a obrigações de fazer ou não fazer de forma cumulativa à condenação pecuniária, o que indica a intenção do Judiciário de remediar e reparar violações aos direitos dos titulares.

 

– Principais Obrigações de fazer encontradas:

 

  • Exclusão de dados pessoais à 67%
  • Abstenção de divulgação/compartilhamento à 13%
  • Fornecer Dados Pessoais à 7%
  • Prestar Informações à 4%
  • Outras à 9%

 

 

– Motivações:

 

Foram identificadas diferentes motivações nas decisões analisadas. As cinco motivações mais recorrentes relacionadas a temas de tratamento de dados foram, respectivamente:

  • Cobranças e proteção ao crédito (45%);
  • Compartilhamento e divulgação (28%);
  • Incidentes de Segurança (11%);
  • Criminais, incluindo fraudes, golpes etc. (4%);
  • Outras motivações relacionadas à legitimidade do tratamento (12%), incluindo:

 

  • Contatos Indesejados (sem vazamento) (3%)
  • Privacidade de Dados de Consumidor (3%)
  • Privacidade em Redes Sociais (2%)
  • Privacidade de Dados Financeiros (2%)
  • Privacidade de Dados de Saúde (2%)
  • Privacidade no Uso de Imagem (<1%)

 

 

  1. Cobranças e proteção ao crédito:

Trata-se de motivação de alta frequência, uma vez que presente em 45% das ações avaliadas.

A considerável predominância do tema em relação a outras motivações (55%) revela o potencial uso, pelos demandantes, da Autodeterminação Informativa, fundamento da LGPD que se caracteriza como o direito de entender e se posicionar sobre o fluxo dos seus dados, desde o momento em que ocorre a sua captação até o seu descarte.

Quanto ao valor das condenações que envolvem cobrança e proteção ao crédito, estas variam conforme a natureza da indenização:

  • Danos Morais à De R$ 3.000,00 a R$ 15.000,00
  • Danos Materiais à De R$ 1.406,88 a R$ 10.000,00

 

– Da necessidade do consentimento do titular para o compartilhamento de seus dados pessoais para fins de proteção ao crédito ou cobrança:

Observou-se que em decisões que tratam de cobrança e proteção ao crédito nas quais o juiz decidiu pela ilegitimidade do compartilhamento, o consentimento em geral não foi exigido para o compartilhamento, sendo este exigido em apenas 6% dos casos.

Exigência de consentimento nos casos de compartilhamento não legítimo:

  • Consentimento foi exigido à 6%
  • Consentimento não exigido à 96%

 

Quando se entendeu pela legitimidade do compartilhamento, o consentimento foi dispensado em 53% dos casos.

Exigência de consentimento nos casos de compartilhamento legítimo:

  • Consentimento foi dispensado à 53%
  • Consentimento não dispensado à 47%

 

Desse modo, é possível concluir que o Judiciário dispensa o consentimento para o compartilhamento de dados pessoais com fins de crédito e cobrança. A legitimidade do compartilhamento de dados pessoais independe do consentimento do titular de dados.

  1. Compartilhamento e a divulgação de dados pessoais:

Verificou-se um relevante número de decisões da segunda ou superior instância em que a parte autora afirma o compartilhamento e a divulgação de seus dados pessoais de forma indevida, totalizando 28% dos casos.

Frequência de Compartilhamento/Divulgação:

  • Compartilhamento/Divulgação à 28%
  • Demais motivações à 72%

 

Em seguida observou-se a frequência de condenações em relação à temática, que, concidentemente, também se deu em 28% dos casos analisados.

Frequência de Condenações:

  • Com condenação à 28%
  • Sem condenação à 72%

 

Com relação aos valores das condenações envolvendo o compartilhamento e/ou a divulgação indevida de dados pessoais, em média, são superiores quando concedidos a título de danos morais e inferiores com relação aos danos materiais.

Compartilhamento e divulgação – Condenações:

  • Danos morais à De R$ 1.000,00 a R$ 20.000,00
  • Danos materiais à de R$ 1.000,00 a R$ 3.000,00

 

  • Incidente de Vazamento:

Identificou-se que em torno de 11% das motivações dos processos analisados, houve alegação de incidente de vazamento. No entanto, essa alegação ocorre com maior frequência de forma acessória em outras ações de motivação diversa, provavelmente em decorrência da interpretação feita pela Lei Geral de Proteção de Dados (LGPD) no sentido de que tratamentos inadequados ou ilícitos, principalmente com potencial de causar danos aos titulares, podem ser considerados incidentes.

 

  1. Casos relacionados a matérias potencialmente criminais:

Ao atentar para as especificidades dos casos, muitas vezes observou-se a existência de matérias potencialmente criminais que também estavam relacionadas a outros temas, como compartilhamento e/ou divulgação indevida de dados pessoais. Assim, a amostra destes casos é bem abrangente, considerando não só decisões na esfera criminal, mas também na esfera cível, desde que relacionadas a fatos potencialmente criminais, o que inclui fraudes e golpes.

Criminal – Frequência de Ocorrências:

  • Criminal (incluindo fraudes, golpes etc.) à 4%
  • Demais motivações à 96%

 

Ao observar a frequência em que as motivações envolveram as situações mencionadas acima, tem-se que ela atinge a porcentagem de cerca de 4% das ações.

As condenações ocorreram em 71% dos casos analisados.

Frequência de Condenações:

  • Com condenação à 71%
  • Sem condenação à 29%

 

Quanto aos valores de indenização, verificou-se maior amplitude de indenização quando de natureza material.

Valores mínimos e máximos de condenações:

  • Danos morais à De R$ 3.000,00 à R$ 5.000,00
  • Danos materiais à De R$ 2.399,00 à R$ 25.849,00

 

 

  1. Outras Motivações Relacionadas à Legitimidade do Tratamento de Dados Pessoais:

Identificou-se também uma série de outras motivações envolvendo a legitimidade do tratamento de dados pessoais. Trata-se, contudo, da minoria dos casos.

Essas outras motivações identificadas, incluem:

  • Privacidade de Dados de Consumidor à 2%
  • Privacidade de Dados Financeiros à 2%
  • Privacidade em Redes Sociais à 2%
  • Privacidade de Dados de Saúde à 2%
  • Privacidade no Uso de Imagem à 1%
  • Contatos Indesejados (sem vazamento) à 3%

 

Dentre essas motivações, destaca-se que os contatos indesejados e os assuntos envolvendo o tratamento de dados de consumidor, de forma genérica, são os mais recorrentes.

No que se refere ao valor das condenações, as poucas que ocorreram e determinaram a indenização por danos morais, nesses casos, variaram entre R$ 500,00 e R$ 9.500,00. Não foram observados números substanciais referentes a condenações de indenização por danos materiais.

Por fim, cabe destacar que a maior parte dos casos de contatos indesejados envolve contatos telefônicos, compreendendo 56% dos casos.

Tipos de Contatos Indesejados:

  • Telefone à 56%
  • Whatsapp à 33%
  • SMS à 11%

 

  1. Temáticas Relevantes:

Além das motivações já tratadas, identificou-se também menção de outras temáticas relevantes para o referido estudo. Levando-se em conta uma amostra de 117 decisões, encontrou-se:

  • Falta de Transparência – 92 ocorrências
  • Desvio de Finalidade – 61 ocorrências
  • Direitos dos Titulares – 45 ocorrências
  • Segurança/Vazamento – 21 ocorrências

 

Analisaremos cada uma separadamente a seguir:

 

  • Segurança/Vazamento:

 

As menções relacionadas a incidentes de segurança/vazamento, engloba as decisões que reconhecem que a “falha de segurança” gerou o acesso indevido, alteração, perda ou exposição de dados pessoais.

 

 

– Frequência:

 

Constatou-se que cerca de 12% de todas as decisões analisadas tratavam de discussões envolvendo incidentes de segurança. Com relação à frequência das condenações, observou-se que 29% dos casos abrangidos pela atual pesquisa resultaram em condenações.

 

  • Com Condenação à 29%
  • Sem condenação à 71%

 

– Valores das indenizações:

Condenação à Os valores variaram entre R$ 500,00 e R$ 25.849,00. Quando a condenação era apenas por danos morais, os valores variaram de R$ 500,00 a R$ 10.000,00. No caso de condenação por danos materiais a variação é maior, variando de R$ 599,99 a R$ 25.849,00.

 

– Dados vazados:

 

Além disso, identificou-se quais dados foram potencialmente vazados com uma frequência maior dentro de incidentes de segurança. Nesse sentido, dados cadastrais (como nome, RG e CPF) e dados de contato (telefone, endereço e e-mail), foram os mais vazados, sendo disponibilizados em cerca de 90% dos incidentes.

 

  • Dados Cadastrais (Nome, RG, CPF) à 90%
  • Dados de Contato (Telefone, Endereço, E-mail) à 90%
  • Outros dados de baixo risco à 20%
  • Dados de Comprasà 10%
  • Dados Bancáriosà 10%

 

 

– Fatos Considerados e Frequência de Condenações:

 

Quanto ao desfecho das decisões analisadas, foram observadas certas tendências, principalmente, no que diz respeito à existência ou não de condenação, influenciando diretamente na responsabilização ou não do agente.

 

Um exemplo disso seria a constatação de que nos casos em que houve a alegação de caso fortuito ou força maior, a condenação é quase certa. Em contrapartida, é possível observar que a comunicação pública do incidente, ou à ANPD, a ausência de nexo causal com o dano sofrido pela parte autora, bem como a culpa exclusiva do titular dos dados ou de terceiros, tendem a reduzir as chances de condenação.

 

 

  • Natureza in re ipsa (ou não) do dano moral à 45% dos casos com condenação; 55% dos casos sem condenação.

 

  • Tipo de dados vazados: 50% dos casos com condenação; 50% dos casos sem condenação.

 

  • Houve incidente, mas não houve prova de nexo causal com eventual dano: 100% dos casos sem condenação;

 

  • Forma na qual o autor ficou sabendo do incidente: 40% dos casos com condenação; 60% dos casos sem condenação.

 

  • Comunicação pública da empresa sobre o incidente: 100% dos casos sem condenação;

 

  • Caso fortuito ou força maior: 100% dos casos com condenação;

 

  • Culpa exclusiva de terceiro: 100% dos casos sem condenação;

 

  • Culpa exclusiva do titular: 100% dos casos sem condenação;

 

  • Comunicação à ANPD: 100% dos casos sem condenação;

 

 

  • Direitos dos Titulares (Art. 18 da LGPD):

 

– Frequência do tema: Direito dos Titulares:

 

Ao analisar amostra que incluiu os pedidos acessórios, restou clara a presença de discussões envolvendo direito à exclusão e falhas genéricas no atendimento aos direitos dos titulares, configurando 25% dos casos analisados.

 

  • Direito dos Titulares à 25%
  • Outros à 75%

 

Outrossim, identificou-se que os temas de exclusão (64%) e acesso a informações (20%) foram as que mais apareceram dentro da temática analisada. Casos de falha no atendimento aos direitos dos titulares sobre seus dados pessoais, representaram 29% dos casos analisados.

 

– Amostra: 45 menções

a direito dos titulares:

 

  • Exclusão à 29 ocorrências
  • Acesso à 09 ocorrências
  • Falha no atendimento aos direitos dos titulares à 16 ocorrências

 

 

– Frequência das Condenações:

 

Com relação às condenações, esta ocorreu com grande frequência.

 

– Amostra: 45 menções

a direito dos titulares:

 

  • Exclusão à 28 condenações
  • Acesso à 07 condenações
  • Falha no atendimento aos direitos dos titulares à 15 condenações

 

– Valores das Condenações:

No que tange aos danos morais nestes casos que envolvem direitos dos titulares, as indenizações variaram entre R$ 500,00 e R$ 15.000,00, especificamente quanto às variáveis a seguir:

  • Exclusão à De R$ 3.000,00 a R$ 15.000,00
  • Danos Morais à De R$ 500,00 a R$ 10.000,00
  • Acesso à De R$ 4.000,00 a R$ 10.000,00

 

Com relação aos danos materiais só foi possível analisar dados relativos à falha no atendimento aos direitos dos titulares sobre seus dados pessoais, veja-se:

  • Falha no atendimento aos direitos dos titulares à De R$ 280 R$ 25.849

 

  • Transparência e Desvio de Finalidade

 

Os temas de transparência e desvio de finalidade foram tratados conjuntamente, dada a frequência da ocorrência de sua menção de forma concomitante nas ações:

 

– Transparência:

 

Conceito: Aos titulares dos dados pessoais deve ser garantida informações precisas, claras e de fácil acesso quanto às formas, condições e detalhes do tratamento;

 

Conclusão: Tema comum quando a situação discutida leva em consideração o conhecimento, por parte do titular, sobre a atividade ou as atividades de tratamento em questão.

 

– Desvio de Finalidade:

 

Conceito Geral: O tratamento de dados pessoais deve ser conduzido em conformidade com as finalidades informadas ao titular (princípio da adequação). Se ocorrer tratamento com finalidade diversa da informada, poderá haver desvio de finalidade.

 

Interpretação nas Decisões: O tema é considerado quando há identificação de que os dados pessoais foram tratados para finalidades indevidas e estranhas.

 

– Frequência de Ocorrências:

 

Parcela expressiva dos processos utilizados na amostra verificou que tanto a falta de transparência quanto o desvio de finalidade ocorrem com certa frequência.

 

Amostra: 177 decisões

 

– Falta de Transparência à 92 menções

– Desvio de Finalidade à 61 menções

 

 

– Frequência de Condenações:

 

Ao realizar o cruzamento das decisões, considerando a falta de transparência e o desvio de finalidade, com a taxa de condenação dos processos, depreende-se que, apesar do desvio de finalidade ter grandes chances de gerar uma condenação, a combinação do desvio de finalidade com a falta de transparência aumenta consideravelmente essas chances. Isso sugere que a aplicação da devida transparência durante toda as atividades de tratamento pode reduzir a chance de condenação em 9%, deixando clara a relevância e a eficácia desse tipo de medida preventiva.

 

  • Falta de Transparência à 58% sem condenação; 42% com condenação
  • Desvio de Finalidade à 18% sem condenação; 82 % com condenação
  • Ambos à 9 % sem condenação; 91% com condenação

 

 

– Valores das condenações:

 

Houve variações diversas ao considerar os valores mínimo e máximo das condenações por danos materiais:

 

– Falta de Transparência à De R$ 1.406,88 à R$ 10.000,00

– Danos materiais à De R$ 599,99 à R$ 25.849

– Ambos à De R$ 5.000,00 à R$ 10.000,00

 

Quanto às condenações por dano moral, não houve quantidade significativa envolvendo o tema.

 

 

 

– Análise de Interpretações:

 

A partir do referido estudo, foi possível realizar também uma análise mais aprofundada sobre as decisões em segunda instância, quanto à natureza in re ipsa do dano moral, ao observar as suas diferentes motivações. Além disso, analisou-se também a influência da natureza in re ipsa nos valores condenatórios por danos morais.

 

  • Geral à 35% possui natureza re ipsa; 65% não possui natureza re ipsa
  • Incidentes à 20% possui natureza re ipsa; 80% não possui natureza re ipsa
  • Cobranças e Proteção ao Crédito à 36% possui natureza re ipsa; 64% não possui natureza re ipsa
  • Compartilhamento/Divulgação à 55% possui natureza re ipsa; 45% não possui natureza re ipsa

 

Desse modo, é possível inferir que há um entendimento mais amplo sobre a natureza in re ipsa dos danos morais em casos que versem sobre compartilhamento e/ou a divulgação indevida de dados, totalizando 55% das decisões analisadas. Do lado oposto, observa-se um potencial menor em ações motivadas por temáticas relacionadas a cobranças e à proteção de crédito, englobando cerca de 36% dos casos analisados. Por fim, no tocante aos casos relacionados a incidentes de segurança, o percentual observado atingiu apenas 20% dos casos.

 

 

 

 

 

– Da natureza in re ipsa do dano moral em julgados que abrangem incidentes de segurança:

 

Trata-se de controvérsia acerca da possível natureza in re ipsa do dano moral causado por incidente de segurança, principalmente quando por exposição e vazamento de dados, sem a necessidade da respectiva comprovação.

 

  • Corrente 1: Danos Morais ocasionados por incidentes de segurança possuem natureza in re ipsa:

 

De acordo com essa corrente, o mero incidente com dados pessoais (incluem-se aqui, em sua maioria, incidentes de vazamento) é capaz, por si só, de ocasionar dano moral. Logo, não seria necessário comprovar ocorrência e extensão do dano para ensejar condenação à reparação.

 

Corrente 2: Danos Morais ocasionados por incidentes de segurança não possuem natureza in re ipsa:

 

Segundo essa corrente, o mero incidente com dados pessoais (incluindo, em sua maioria, incidentes de vazamento) não é capaz de ocasionar dano moral. Portanto, seria necessário comprovar a ocorrência e extensão do dano moral para ensejar a obrigação de sua reparação.

 

Corroborando esse entendimento, uma decisão do Superior Tribunal de Justiça (STJ) proferida em 7 de março de 2023 pelo Min. Francisco Falcão nos autos do AREsp 2130619/SP estabeleceu que não se presume dano moral decorrente de vazamento de dados pessoais comuns (i.e. nome, sobrenome e informações básicas de registro), sendo necessário que o titular dos dados comprove o efetivo prejuízo gerado pela exposição dessas informações.

 

 

– Natureza in re ipsa do dano moral em julgados que abrange outras situações:

 

Destaca-se ainda que com relação ao dano moral a necessidade da sua comprovação é variável de acordo com o fato jurídico que o gera. A grande maioria dos julgados, segundo interpretação do Poder Judiciário, exige a comprovação nos casos de incidente de segurança, em outros casos, o tema é tratado de forma heterogênea.

 

– Compartilhamento/Divulgação:

 

  • 55% possui natureza in re ipsa;
  • 45% não possui natureza in re ipsa;

 

– Cobranças e Proteção ao Crédito:

  • 36% possui natureza in re ipsa
  • 64% não possui natureza in re ipsa

 

– Cobranças e proteção ao crédito:

As decisões motivadas por cobranças ou proteção ao crédito exigem a comprovação do dano moral para a configuração de indenização (64%).

 

– Compartilhamento ou divulgação:

Nos casos de julgados motivados por compartilhamento ou divulgação de dados pessoais, verificou-se tendência a favor do entendimento de que o mero fato ilícito é suficiente para ensejar a indenização por danos morais, muito embora os tribunais se apresentem divididos quanto ao tema (55%).

 

  • Atuação da ANPD no âmbito administrativo

Além das ações judiciais mencionadas acima, a Autoridade Nacional de Proteção de Dados também vem atuando para garantir a fiscalização e cumprimento das disposições da LGPD no âmbito administrativo.

Dentre as funções da ANPD, destaca-se a adoção de atividades de monitoramento, orientação e de prevenção, no âmbito do processo de fiscalização que, a depender do resultado, poderá dar início à atividade repressiva por meio do Processo Administrativo Sancionador.

No exercício de sua competência fiscalizatória, a ANPD pode atuar (i) de ofício, (ii) em decorrência de programas periódicos de fiscalização, (iii) de forma coordenada com órgãos e entidades públicos, ou (iv) em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Já o Processo Administrativo Sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD, nos termos do artigo 55-J, IV, da LGPD, e pode ser instaurado (i) de ofício pela Coordenação-Geral de Fiscalização, (ii) em decorrência do processo de fiscalização, ou (iii) diante de requerimento em que a CGF, após efetuar a análise de admissibilidade, deliberar pela abertura imediata de processo sancionador.

Assim, destacamos abaixo as principais estatísticas divulgadas pela ANPD, que incluem dados até o terceiro trimestre de 2023:

– Total de incidentes de segurança reportados desde janeiro de 2021: 733

– Total de requerimentos recebidos desde janeiro de 2021: 2.646

– Processos de fiscalização concluídos: 16

– Processos de fiscalização em andamento: 13

– Processos de fiscalização que se transformaram em Processos Administrativos Sancionadores: 9

– Sanções aplicadas: 3

 

Analisaremos cada uma separadamente a seguir:

  • Total de incidentes de segurança reportados desde janeiro de 2021

Dentre os 733 incidentes de segurança reportados, somente 274 foram categorizados pelos agentes em relação ao tipo de incidente de segurança, tendo em vista que somente a partir de janeiro de 2023 passou a ser utilizada a nova versão do Formulário de Comunicação de Incidente de Segurança que continha essa informação. Assim, os incidentes reportados dividem-se nas seguintes categorias:

Tipo de Incidente de Segurança Número de Comunicações de Incidente de Segurança
Sequestro de dados (ransomware) com transferência e/ou publicação de informações 60
Sequestro de Dados (ransomware) sem transferência de informações

 

51
Exploração de vulnerabilidade em sistema de informação 45
Acesso não autorizado a sistema de informação 25
Envio de dados a destinatário incorreto 18
Divulgação indevida de dados pessoais 18
Roubo de credenciais/ Engenharia Social 13
Perda/ roubo de documentos ou dispositivos eletrônicos 9
Outro tipo de incidente não cibernético 9
Falha em sistema de informação (software) 7
Outro tipo de incidente cibernético 7
Publicação não intencional de dados pessoais 7
Alteração/ exclusão não autorizada de dados pessoais 2
Vírus de computador/ Malware 2
Descarte incorreto de documentos ou dispositivos eletrônicos 1

 

Importante destacar que cerca de 40% dos comunicados sobre incidente de segurança da informação envolveram sequestro de dados (ransomware), que se caracteriza pelo uso de um software malicioso para bloquear e/ou transferir dados de computadores e servidores e em troca de pagamento como forma de resgate e retorno ao controle do dispositivo e dos dados sequestrados.

  • Total de requerimentos recebidos desde janeiro de 2021

Desde janeiro de 2021, a ANPD recebeu 2.646 requerimentos (denúncias ou petições de titulares) solicitando a fiscalização para o cumprimento da legislação de proteção de dados pessoais em relação aos titulares dos dados.

As petições são instrumentos utilizados para que os titulares de dados comuniquem à ANPD uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação. Já as denúncias são comunicações feitas à ANPD por qualquer pessoa, natural ou jurídica, sobre uma suposta infração cometida contra a legislação de proteção de dados pessoais brasileira, que não seja uma petição de titular.

  • Processos de fiscalização concluídos

A ANPD já conduziu e arquivou 16 processos de fiscalização, conforme detalhado a seguir:

Agente de tratamento Escopo da análise Nº do processo
DNIT e PRF Compartilhamento de dados do DNIT para PRF 00046.000690/2020-22
WhatsApp LLC Avaliação da alteração da Política de Privacidade 00261.000012/2021-04
Prefeitura de Rebouças/PR Divulgação de dados sensíveis 00261.000565/2021-59
Facebook Verificação de conformidade do tratamento de dados pessoais 00261.000342/2021-91
Polícia Federal Verificação de conformidade do tratamento de dados pessoais 00261.000836/2021-76
Telegram Messenger Inc. Verificação de conformidade do tratamento de dados pessoais 00261.000298/2022-09
Prefeitura do Recife/PE Verificação de conformidade do tratamento de dados pessoais – Contratação de monitoramento e reconhecimento facial 00261.001708/2021-40
Receita Federal do Brasil Verificação de conformidade do tratamento de dados pessoais – Portaria RFB nº 81/2021 00261.001732/2021-89
Secretaria de Governo Digital Verificação de conformidade do tratamento de dados pessoais – Acordo de Cooperação Técnica nº 27/2021 – SGD x Associação Brasileira de Bancos 00261.000043/2022-38
Secretaria de Governo Digital Verificação de conformidade do tratamento de dados pessoais – Acordo de Cooperação Técnica nº 16/2021 – SGD x FEBRABAN 00261.000064/2022-53
Ministério da Saúde Verificação de conformidade do tratamento de dados pessoais – Vazamento de dados de médicos participantes de audiência pública 00261.000079/2022-11
Receita Federal do Brasil Verificação de conformidade do tratamento de dados pessoais – Portaria RFB nº 167/2022 00261.000821/2022-99
Buonny e Open Tech Verificação de conformidade do tratamento de dados pessoais – Uso de dados pessoais para fins discriminatórios 00261.000851/2022-03
Serviço Federal de Processamento de Dados – Serpro Acordo de Cooperação Técnica entre Serpro e Drumwave 00261.001457/2022-84
Ministério da Gestão e Inovação – Secretaria de Governo Digital Verificação de conformidade do tratamento de dados pessoais – Compartilhamento de dados pessoais entre órgãos públicos 00261.002620/2022-26
Secretaria Municipal da Segurança Cidadã (Sesec) do Município de Fortaleza/CE Verificação de conformidade do tratamento de dados pessoais 00261.002211/2022-20

 

  • Processos de fiscalização em andamento

Além dos processos já concluídos, existem atualmente 13 processos de fiscalização sendo investigados pela CGF para verificação de conformidade do tratamento de dados pessoais, conforme detalhado abaixo:

Agente de tratamento Escopo da Análise Nº do processo
Bytedance Brasil Tecnologia Ltda. (TikTok) Verificação de conformidade do tratamento de dados pessoais de crianças e adolescentes 00261.000297/2021-75
Não identificado Verificação de conformidade do tratamento de dados pessoais de 223 milhões de cidadãos brasileiros 00261.000050/2021-59
Serviço Federal de Processamento de Dados – Serpro Verificação de conformidade do tratamento de dados pessoais – compartilhamento de dados pessoais entre órgãos públicos 00261.000704/2021-44
Ministério da Justiça e Segurança Pública Verificação de conformidade do tratamento de dados pessoais 00261.001028/2021-26
Unitfour Tecnologia da Informação Ltda. Verificação de conformidade do tratamento de dados pessoais 00261.008253/2021-54
Zappo Tecnologia da Informação e Publicidade Ltda.-ME (Contact Pró) Verificação de conformidade do tratamento de dados pessoais 00261.001709/2021-94
Claro S.A. e Serasa S.A. Verificação de conformidade do tratamento de dados pessoais 00261.000227/2022-06
Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) Verificação de conformidade do tratamento de dados pessoais – Mudanças na política de publicação de dados do ENEM 00261.000730/2022-53
WhatsApp LLC. Verificação de conformidade do tratamento de dados pessoais – Compartilhamento de dados com as Empresas do Grupo Meta (Facebook) 00261.001296/2022-29
Instituto Nacional do Seguro Social (INSS) e Dataprev Verificação de conformidade do tratamento de dados pessoais – compartilhamento para oferta de empréstimos consignados 00261.001688/2022-98
Governo do Estado do Paraná, Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar) e Algar Soluções em TIC S.A. (Algar Telecom) Verificação de conformidade do tratamento de dados pessoais 00261.002036/2022-71
Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Estude em Casa, Explicaê, Manga High e Stoodi Verificação de conformidade do tratamento de dados pessoais de crianças e adolescentes por plataformas digitais de ensino 00261.001328/2023-77
RaiaDrogasil S.A., Stix Fidelidade e Inteligência S.A. e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias) Verificação de conformidade do tratamento de dados pessoais 00261.001371/2023-32

 

  • Processos de Fiscalização que se transformaram em Processos Administrativos Sancionadores

Até o segundo trimestre de 2023, a ANPD divulgou a existência de 8 processos administrativos sancionadores, conforme destacado abaixo:

Processo nº Órgão/ Empresa Instaurado em Condutas investigadas
00261.000456/2022-12 Ministério da Saúde 07/03/2022 Não atendimento à requisição da ANPD; ausência de Encarregado de Dados Pessoais; ausência de Comunicação de Incidente de Segurança
261.000489/2022-62 Telekall Infoservice 10/03/2022 Ausência de comprovação de hipótese legal; ausência de registro de operações; não envio de Relatório de Impacto de Dados; ausência de Encarregado de Dados Pessoais; não atendimento à requisição da ANPD
00261.000574/2022-21 Instituto de Pesquisas Jardim Botânico do Rio de Janeiro 22/03/2022 Não comunicação de incidente de segurança; não atendimento à requisição da ANPD
00261.001192/2022-14 Secretaria de Educação do Distrito Federal 10/06/2022 Não atendimento à requisição da ANPD
00261.001882/2022-73 Ministério da Saúde 12/09/2022 Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança.
00261.001886/2022-51 Secretaria do Estado da Saúde de Santa Catarina 17/09/2022 Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança; não atendimento a determinações da ANPD.
00261.001969/2022-41 Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE 30/09/2022 Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança
00261.001963/2022-73 Secretaria de Desenvolvimento Social, Criança e Juventude-PE 07/10/2022 Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança.
00261.001888/2023-21 Instituto Nacional do Seguro Social – INSS Não informado Ausência de comunicação de incidente de segurança aos titulares e não atendimento de medida preventiva adotada pela ANPD

 

Alguns processos de fiscalização são transformados em Processos Administrativos Sancionadores para investigar com profundidade casos em que há indicação de que houve violação à LGPD e regulamentações de proteção de dados pessoais. Nos casos em que houver comprovação das violações a ANPD/CGF virá a aplicar sanções.

Em março de 2023, a ANPD divulgou a lista de processos administrativos sancionadores que foram instaurados até então. A lista é compreendida por órgãos públicos e apenas uma empresa privada, que até o momento, foi a única condenada a aplicação de sanção administrativa por parte da Autoridade.

  • Sanções aplicadas

A ANPD aplicou, até o momento, três sanções, e dentre elas, apenas uma sanção de multa pelo descumprimento de da LGPD após a finalização do processo administrativo sancionador que estava em trâmite:

Processo nº Empresa/ Órgão Multa/ Advertência Aplicada em Justificativa
261.000489/2022-62 Telekall Infoservice R$ 14.400,00 06/07/2023 Tratamento de dados pessoais sem respaldo legal e falta de comprovação da indicação de encarregado.
00261.001969/2022-41 Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo – IAMSPE N/A – Foi aplicada apenas advertência 6/10/2023 Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança
00261.001886/2022-51 Secretaria de Estado da Saúde de Santa Catarina N/A – Foi aplicada apenas advertência 18/10/2023 Ausência de elaboração de RIPD (Relatório de Impacto de Proteção de Dados) quando solicitado pela ANPD e não comunicação de incidente de segurança da informação aos titulares e à ANPD

[1] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

 

I – confirmação da existência de tratamento;

 

II – acesso aos dados;

 

III – correção de dados incompletos, inexatos ou desatualizados;

 

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

 

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

 

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

 

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

 

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

*

compartilhe

LinkedInFacebookTwitterWhatsApp

newsletter

Inscreva-se em nossa newsletter e receba em primeira mão todos os nossos informativos

    Ao informar meus dados, concordo com a Política de Privacidade.