Série privacidade e proteção de dados Nº9: LGPD em Números

Aplicação da LGPD em números

• Ações Judiciais

A Lei Geral de Proteção de Dados Pessoais (LGPD) completa 5 anos em 2023, apresentando avanços e desafios na sua implementação. Publicada em 14 de agosto de 2018, sua vigência se deu somente em setembro de 2020 e as suas sanções previstas passaram a valer apenas em agosto de 2021, sendo, portanto, uma lei de aplicação recente. Diante da sua importância, ela é cada vez mais citada e presente nas decisões do Poder Judiciário. A partir de uma análise das decisões e entendimentos dos principais tribunais do país é possível identificar certas tendências e perspectivas sobre a norma.

As conclusões apresentadas a seguir foram tiradas de uma amostra de 438 decisões, no período compreendido entre 01/01/2022 e 31/12/2022, publicadas em segunda instância e em instâncias superiores (STJ) dos seguintes tribunais:

– Superior Tribunal de Justiça (STJ);

– Tribunal de Justiça da Bahia (TJBA);

– Tribunal de Justiça de Goiás (TJGO);

– Tribunal de Justiça de Santa Catarina (TJSC);

– Tribunal de Justiça de São Paulo (TJSP);

– Tribunal de Justiça do Distrito Federal e Territórios (TJDFT);

– Tribunal de Justiça do Paraná (TJPR);

– Tribunal de Justiça do Rio de Janeiro (TJRJ).

– Como as decisões que envolvem LGPD estão distribuídas pelos tribunais:

Há clara predominância do Tribunal de Justiça do Estado de São Paulo (TJSP) para proferir decisões relacionadas à LGPD, sendo este responsável por 84% das decisões analisadas. Essa preponderância em relação aos demais tribunais – que somam apenas 16% das decisões – se explica por razões majoritariamente técnicas relativas ao sistema utilizado por cada Tribunal de Justiça, além da respectiva capacidade de disponibilização de dados estruturados por tais sistemas. Veja-se a proporção:

• TJSP à 84%
• TJBA à 3%
• TJRJ à 2%
• TJPR à 2%
• TJDFT à 2%
• STJ à 1%
• TJGO à 1%
• TJSC à 5%

– Principais constatações e tendências:

1. A maior parte dos processos judiciais relacionados à LGPD não resultaram em condenação:

Aproximadamente 57% das decisões analisadas em segunda ou superior instância que trataram da matéria não resultaram em qualquer condenação (decidiu-se pela improcedência ou extinção do feito).

2. Decisões em segunda ou superior instância que envolvam a LGPD tendem a não gerar obrigações de fazer ou não fazer:

Em 41% dos casos, as condenações somente geraram indenização pecuniária (sem obrigações de fazer ou não fazer). Em 20% dos casos, observou-se que as condenações apenas faziam referência a obrigações de fazer ou não fazer (não houve indenização pecuniária). E em 39% das decisões proferidas, houve condenação a obrigação de fazer ou não fazer e à indenização pecuniária (ao mesmo tempo).

3. No que tange ao tema de cobrança e proteção ao crédito, verificou-se que o compartilhamento de dados pessoais com terceiros para este fim dispensa o consentimento do titular

O compartilhamento de dados pessoais com terceiros, que tem como objetivo específico a cobrança ou proteção ao crédito, é considerado legítimo pelos magistrados em geral, independentemente do consentimento. Em 53% dos casos, houve entendimento expresso no sentido de que o consentimento é dispensado para essa situação. Além disso, quando o mesmo compartilhamento não é considerado legítimo, isso se dá por outros motivos, que não a ausência do consentimento do titular, sendo esse considerado em raras circunstâncias, totalizando apenas 6% dos casos.

4. A ocorrência de desvio de finalidade no tratamento de dados pessoais tem maior risco quando não há a devida transparência perante o titular:

Identificou-se que 82% das situações em que houve tratamento de dados com finalidade inadequada ao contexto geraram algum tipo de condenação. No entanto, nos casos em que as decisões também versaram sobre a falta da devida transparência no tratamento, o número fica ainda maior, totalizando 91% dos casos.

5. Incidentes de dados pessoais não são a maior motivação das ações que chegaram à segunda instância:

45% das decisões em segunda ou superior instância que tratam sobre a LGPD foram motivadas por situações que envolviam cobrança ou proteção ao crédito.

6. Na maior parte dos casos foi necessário comprovar os danos morais, a fim de que houvesse condenação:

A comprovação de dano moral pôde ser observada em 65% das decisões analisadas, o que por si só indica tendência de que ele não possui natureza in re ipsa (presumido). Nos casos de danos morais causados por incidentes, a exigência de comprovação foi ainda maior, ocorrendo em 80% dos casos. Entretanto, se ocasionados por compartilhamento ou divulgação de dados pessoais, o número cai para 45%, ou seja, há dispensa de comprovação na maior parte desses casos.

7. O direito à exclusão é o mais demandado:

No que se refere aos direitos dos titulares (art. 18[1]), verificou-se que o direito à exclusão (incisos IV e VI da LGPD) foi o mais pleiteado, com citação em 64% das decisões, tendo um índice de 97% de condenação.

–  Condenações:

Dentre as decisões consideradas, extraiu-se alguns padrões de resultados quanto à frequência das condenações. Basicamente, revelou-se que 57% das decisões não resultaram em condenação ou manutenção da condenação, enquanto 43% resultaram.

Além disso, é notável a predominância de condenações pecuniárias (e.g. indenizações) em comparação com as obrigações de fazer ou não fazer (e.g. eliminação de dados pessoais da parte autora), representando 80% das decisões analisadas, o que leva a concluir por uma tendência maior de se levar a juízo ações em que há existência de efetivo dano a ser indenizado em virtude de eventuais fatos ilícitos no tratamento de dados pessoais, abarcando tanto dano material como dano moral.

No entanto, as obrigações de fazer ou não fazer totalizam 59% das decisões então consideradas, o que evidencia a tutela dos direitos dos titulares, quando ameaçados, exercida pela jurisdição contenciosa, independentemente de haver a necessidade de indenização por possíveis ilícitos relativos a tratamento de dados pessoais.

Destaca-se, ainda, que em 39% das decisões, houve condenação a obrigações de fazer ou não fazer de forma cumulativa à condenação pecuniária, o que indica a intenção do Judiciário de remediar e reparar violações aos direitos dos titulares.

– Principais Obrigações de fazer encontradas:

• Exclusão de dados pessoais à 67%
• Abstenção de divulgação/compartilhamento à 13%
• Fornecer Dados Pessoais à 7%
• Prestar Informações à 4%
• Outras à 9%

– Motivações:

Foram identificadas diferentes motivações nas decisões analisadas. As cinco motivações mais recorrentes relacionadas a temas de tratamento de dados foram, respectivamente:

• Cobranças e proteção ao crédito (45%);
• Compartilhamento e divulgação (28%);
• Incidentes de Segurança (11%);
• Criminais, incluindo fraudes, golpes etc. (4%);
• Outras motivações relacionadas à legitimidade do tratamento (12%), incluindo:

• Contatos Indesejados (sem vazamento) (3%)
• Privacidade de Dados de Consumidor (3%)
• Privacidade em Redes Sociais (2%)
• Privacidade de Dados Financeiros (2%)
• Privacidade de Dados de Saúde (2%)
• Privacidade no Uso de Imagem (<1%)

1. Cobranças e proteção ao crédito:

Trata-se de motivação de alta frequência, uma vez que presente em 45% das ações avaliadas.

A considerável predominância do tema em relação a outras motivações (55%) revela o potencial uso, pelos demandantes, da Autodeterminação Informativa, fundamento da LGPD que se caracteriza como o direito de entender e se posicionar sobre o fluxo dos seus dados, desde o momento em que ocorre a sua captação até o seu descarte.

Quanto ao valor das condenações que envolvem cobrança e proteção ao crédito, estas variam conforme a natureza da indenização:

• Danos Morais à De R$ 3.000,00 a R$ 15.000,00
• Danos Materiais à De R$ 1.406,88 a R$ 10.000,00

– Da necessidade do consentimento do titular para o compartilhamento de seus dados pessoais para fins de proteção ao crédito ou cobrança:

Observou-se que em decisões que tratam de cobrança e proteção ao crédito nas quais o juiz decidiu pela ilegitimidade do compartilhamento, o consentimento em geral não foi exigido para o compartilhamento, sendo este exigido em apenas 6% dos casos.

Exigência de consentimento nos casos de compartilhamento não legítimo:

• Consentimento foi exigido à 6%
• Consentimento não exigido à 96%

Quando se entendeu pela legitimidade do compartilhamento, o consentimento foi dispensado em 53% dos casos.

Exigência de consentimento nos casos de compartilhamento legítimo:

• Consentimento foi dispensado à 53%
• Consentimento não dispensado à 47%

Desse modo, é possível concluir que o Judiciário dispensa o consentimento para o compartilhamento de dados pessoais com fins de crédito e cobrança. A legitimidade do compartilhamento de dados pessoais independe do consentimento do titular de dados.

1. Compartilhamento e a divulgação de dados pessoais:

Verificou-se um relevante número de decisões da segunda ou superior instância em que a parte autora afirma o compartilhamento e a divulgação de seus dados pessoais de forma indevida, totalizando 28% dos casos.

Frequência de Compartilhamento/Divulgação:

• Compartilhamento/Divulgação à 28%
• Demais motivações à 72%

Em seguida observou-se a frequência de condenações em relação à temática, que, concidentemente, também se deu em 28% dos casos analisados.

Frequência de Condenações:

• Com condenação à 28%
• Sem condenação à 72%

Com relação aos valores das condenações envolvendo o compartilhamento e/ou a divulgação indevida de dados pessoais, em média, são superiores quando concedidos a título de danos morais e inferiores com relação aos danos materiais.

Compartilhamento e divulgação – Condenações:

• Danos morais à De R$ 1.000,00 a R$ 20.000,00
• Danos materiais à de R$ 1.000,00 a R$ 3.000,00

• Incidente de Vazamento:

Identificou-se que em torno de 11% das motivações dos processos analisados, houve alegação de incidente de vazamento. No entanto, essa alegação ocorre com maior frequência de forma acessória em outras ações de motivação diversa, provavelmente em decorrência da interpretação feita pela Lei Geral de Proteção de Dados (LGPD) no sentido de que tratamentos inadequados ou ilícitos, principalmente com potencial de causar danos aos titulares, podem ser considerados incidentes.

1. Casos relacionados a matérias potencialmente criminais:

Ao atentar para as especificidades dos casos, muitas vezes observou-se a existência de matérias potencialmente criminais que também estavam relacionadas a outros temas, como compartilhamento e/ou divulgação indevida de dados pessoais. Assim, a amostra destes casos é bem abrangente, considerando não só decisões na esfera criminal, mas também na esfera cível, desde que relacionadas a fatos potencialmente criminais, o que inclui fraudes e golpes.

Criminal – Frequência de Ocorrências:

• Criminal (incluindo fraudes, golpes etc.) à 4%
• Demais motivações à 96%

Ao observar a frequência em que as motivações envolveram as situações mencionadas acima, tem-se que ela atinge a porcentagem de cerca de 4% das ações.

As condenações ocorreram em 71% dos casos analisados.

Frequência de Condenações:

• Com condenação à 71%
• Sem condenação à 29%

Quanto aos valores de indenização, verificou-se maior amplitude de indenização quando de natureza material.

Valores mínimos e máximos de condenações:

• Danos morais à De R$ 3.000,00 à R$ 5.000,00
• Danos materiais à De R$ 2.399,00 à R$ 25.849,00

1. Outras Motivações Relacionadas à Legitimidade do Tratamento de Dados Pessoais:

Identificou-se também uma série de outras motivações envolvendo a legitimidade do tratamento de dados pessoais. Trata-se, contudo, da minoria dos casos.

Essas outras motivações identificadas, incluem:

• Privacidade de Dados de Consumidor à 2%
• Privacidade de Dados Financeiros à 2%
• Privacidade em Redes Sociais à 2%
• Privacidade de Dados de Saúde à 2%
• Privacidade no Uso de Imagem à 1%
• Contatos Indesejados (sem vazamento) à 3%

Dentre essas motivações, destaca-se que os contatos indesejados e os assuntos envolvendo o tratamento de dados de consumidor, de forma genérica, são os mais recorrentes.

No que se refere ao valor das condenações, as poucas que ocorreram e determinaram a indenização por danos morais, nesses casos, variaram entre R$ 500,00 e R$ 9.500,00. Não foram observados números substanciais referentes a condenações de indenização por danos materiais.

Por fim, cabe destacar que a maior parte dos casos de contatos indesejados envolve contatos telefônicos, compreendendo 56% dos casos.

Tipos de Contatos Indesejados:

• Telefone à 56%
• Whatsapp à 33%
• SMS à 11%

1. Temáticas Relevantes:

Além das motivações já tratadas, identificou-se também menção de outras temáticas relevantes para o referido estudo. Levando-se em conta uma amostra de 117 decisões, encontrou-se:

• Falta de Transparência – 92 ocorrências
• Desvio de Finalidade – 61 ocorrências
• Direitos dos Titulares – 45 ocorrências
• Segurança/Vazamento – 21 ocorrências

Analisaremos cada uma separadamente a seguir:

• Segurança/Vazamento:

As menções relacionadas a incidentes de segurança/vazamento, engloba as decisões que reconhecem que a “falha de segurança” gerou o acesso indevido, alteração, perda ou exposição de dados pessoais.

– Frequência:

Constatou-se que cerca de 12% de todas as decisões analisadas tratavam de discussões envolvendo incidentes de segurança. Com relação à frequência das condenações, observou-se que 29% dos casos abrangidos pela atual pesquisa resultaram em condenações.

• Com Condenação à 29%
• Sem condenação à 71%

– Valores das indenizações:

Condenação à Os valores variaram entre R$ 500,00 e R$ 25.849,00. Quando a condenação era apenas por danos morais, os valores variaram de R$ 500,00 a R$ 10.000,00. No caso de condenação por danos materiais a variação é maior, variando de R$ 599,99 a R$ 25.849,00.

– Dados vazados:

Além disso, identificou-se quais dados foram potencialmente vazados com uma frequência maior dentro de incidentes de segurança. Nesse sentido, dados cadastrais (como nome, RG e CPF) e dados de contato (telefone, endereço e e-mail), foram os mais vazados, sendo disponibilizados em cerca de 90% dos incidentes.

• Dados Cadastrais (Nome, RG, CPF) à 90%
• Dados de Contato (Telefone, Endereço, E-mail) à 90%
• Outros dados de baixo risco à 20%
• Dados de Comprasà 10%
• Dados Bancáriosà 10%

– Fatos Considerados e Frequência de Condenações:

Quanto ao desfecho das decisões analisadas, foram observadas certas tendências, principalmente, no que diz respeito à existência ou não de condenação, influenciando diretamente na responsabilização ou não do agente.

Um exemplo disso seria a constatação de que nos casos em que houve a alegação de caso fortuito ou força maior, a condenação é quase certa. Em contrapartida, é possível observar que a comunicação pública do incidente, ou à ANPD, a ausência de nexo causal com o dano sofrido pela parte autora, bem como a culpa exclusiva do titular dos dados ou de terceiros, tendem a reduzir as chances de condenação.

• Natureza in re ipsa (ou não) do dano moral à 45% dos casos com condenação; 55% dos casos sem condenação.

• Tipo de dados vazados: 50% dos casos com condenação; 50% dos casos sem condenação.

• Houve incidente, mas não houve prova de nexo causal com eventual dano: 100% dos casos sem condenação;

• Forma na qual o autor ficou sabendo do incidente: 40% dos casos com condenação; 60% dos casos sem condenação.

• Comunicação pública da empresa sobre o incidente: 100% dos casos sem condenação;

• Caso fortuito ou força maior: 100% dos casos com condenação;

• Culpa exclusiva de terceiro: 100% dos casos sem condenação;

• Culpa exclusiva do titular: 100% dos casos sem condenação;

• Comunicação à ANPD: 100% dos casos sem condenação;

• Direitos dos Titulares (Art. 18 da LGPD):

– Frequência do tema: Direito dos Titulares:

Ao analisar amostra que incluiu os pedidos acessórios, restou clara a presença de discussões envolvendo direito à exclusão e falhas genéricas no atendimento aos direitos dos titulares, configurando 25% dos casos analisados.

• Direito dos Titulares à 25%
• Outros à 75%

Outrossim, identificou-se que os temas de exclusão (64%) e acesso a informações (20%) foram as que mais apareceram dentro da temática analisada. Casos de falha no atendimento aos direitos dos titulares sobre seus dados pessoais, representaram 29% dos casos analisados.

– Amostra: 45 menções

a direito dos titulares:

• Exclusão à 29 ocorrências
• Acesso à 09 ocorrências
• Falha no atendimento aos direitos dos titulares à 16 ocorrências

– Frequência das Condenações:

Com relação às condenações, esta ocorreu com grande frequência.

– Amostra: 45 menções

a direito dos titulares:

• Exclusão à 28 condenações
• Acesso à 07 condenações
• Falha no atendimento aos direitos dos titulares à 15 condenações

– Valores das Condenações:

No que tange aos danos morais nestes casos que envolvem direitos dos titulares, as indenizações variaram entre R$ 500,00 e R$ 15.000,00, especificamente quanto às variáveis a seguir:

• Exclusão à De R$ 3.000,00 a R$ 15.000,00
• Danos Morais à De R$ 500,00 a R$ 10.000,00
• Acesso à De R$ 4.000,00 a R$ 10.000,00

Com relação aos danos materiais só foi possível analisar dados relativos à falha no atendimento aos direitos dos titulares sobre seus dados pessoais, veja-se:

• Falha no atendimento aos direitos dos titulares à De R$ 280 R$ 25.849

• Transparência e Desvio de Finalidade

Os temas de transparência e desvio de finalidade foram tratados conjuntamente, dada a frequência da ocorrência de sua menção de forma concomitante nas ações:

– Transparência:

Conceito: Aos titulares dos dados pessoais deve ser garantida informações precisas, claras e de fácil acesso quanto às formas, condições e detalhes do tratamento;

Conclusão: Tema comum quando a situação discutida leva em consideração o conhecimento, por parte do titular, sobre a atividade ou as atividades de tratamento em questão.

– Desvio de Finalidade:

Conceito Geral: O tratamento de dados pessoais deve ser conduzido em conformidade com as finalidades informadas ao titular (princípio da adequação). Se ocorrer tratamento com finalidade diversa da informada, poderá haver desvio de finalidade.

Interpretação nas Decisões: O tema é considerado quando há identificação de que os dados pessoais foram tratados para finalidades indevidas e estranhas.

– Frequência de Ocorrências:

Parcela expressiva dos processos utilizados na amostra verificou que tanto a falta de transparência quanto o desvio de finalidade ocorrem com certa frequência.

Amostra: 177 decisões

– Falta de Transparência à 92 menções

– Desvio de Finalidade à 61 menções

– Frequência de Condenações:

Ao realizar o cruzamento das decisões, considerando a falta de transparência e o desvio de finalidade, com a taxa de condenação dos processos, depreende-se que, apesar do desvio de finalidade ter grandes chances de gerar uma condenação, a combinação do desvio de finalidade com a falta de transparência aumenta consideravelmente essas chances. Isso sugere que a aplicação da devida transparência durante toda as atividades de tratamento pode reduzir a chance de condenação em 9%, deixando clara a relevância e a eficácia desse tipo de medida preventiva.

• Falta de Transparência à 58% sem condenação; 42% com condenação
• Desvio de Finalidade à 18% sem condenação; 82 % com condenação
• Ambos à 9 % sem condenação; 91% com condenação

– Valores das condenações:

Houve variações diversas ao considerar os valores mínimo e máximo das condenações por danos materiais:

– Falta de Transparência à De R$ 1.406,88 à R$ 10.000,00

– Danos materiais à De R$ 599,99 à R$ 25.849

– Ambos à De R$ 5.000,00 à R$ 10.000,00

Quanto às condenações por dano moral, não houve quantidade significativa envolvendo o tema.

– Análise de Interpretações:

A partir do referido estudo, foi possível realizar também uma análise mais aprofundada sobre as decisões em segunda instância, quanto à natureza in re ipsa do dano moral, ao observar as suas diferentes motivações. Além disso, analisou-se também a influência da natureza in re ipsa nos valores condenatórios por danos morais.

• Geral à 35% possui natureza re ipsa; 65% não possui natureza re ipsa
• Incidentes à 20% possui natureza re ipsa; 80% não possui natureza re ipsa
• Cobranças e Proteção ao Crédito à 36% possui natureza re ipsa; 64% não possui natureza re ipsa
• Compartilhamento/Divulgação à 55% possui natureza re ipsa; 45% não possui natureza re ipsa

Desse modo, é possível inferir que há um entendimento mais amplo sobre a natureza in re ipsa dos danos morais em casos que versem sobre compartilhamento e/ou a divulgação indevida de dados, totalizando 55% das decisões analisadas. Do lado oposto, observa-se um potencial menor em ações motivadas por temáticas relacionadas a cobranças e à proteção de crédito, englobando cerca de 36% dos casos analisados. Por fim, no tocante aos casos relacionados a incidentes de segurança, o percentual observado atingiu apenas 20% dos casos.

– Da natureza in re ipsa do dano moral em julgados que abrangem incidentes de segurança:

Trata-se de controvérsia acerca da possível natureza in re ipsa do dano moral causado por incidente de segurança, principalmente quando por exposição e vazamento de dados, sem a necessidade da respectiva comprovação.

• Corrente 1: Danos Morais ocasionados por incidentes de segurança possuem natureza in re ipsa:

De acordo com essa corrente, o mero incidente com dados pessoais (incluem-se aqui, em sua maioria, incidentes de vazamento) é capaz, por si só, de ocasionar dano moral. Logo, não seria necessário comprovar ocorrência e extensão do dano para ensejar condenação à reparação.

Corrente 2: Danos Morais ocasionados por incidentes de segurança não possuem natureza in re ipsa:

Segundo essa corrente, o mero incidente com dados pessoais (incluindo, em sua maioria, incidentes de vazamento) não é capaz de ocasionar dano moral. Portanto, seria necessário comprovar a ocorrência e extensão do dano moral para ensejar a obrigação de sua reparação.

Corroborando esse entendimento, uma decisão do Superior Tribunal de Justiça (STJ) proferida em 7 de março de 2023 pelo Min. Francisco Falcão nos autos do AREsp 2130619/SP estabeleceu que não se presume dano moral decorrente de vazamento de dados pessoais comuns (i.e. nome, sobrenome e informações básicas de registro), sendo necessário que o titular dos dados comprove o efetivo prejuízo gerado pela exposição dessas informações.

– Natureza in re ipsa do dano moral em julgados que abrange outras situações:

Destaca-se ainda que com relação ao dano moral a necessidade da sua comprovação é variável de acordo com o fato jurídico que o gera. A grande maioria dos julgados, segundo interpretação do Poder Judiciário, exige a comprovação nos casos de incidente de segurança, em outros casos, o tema é tratado de forma heterogênea.

– Compartilhamento/Divulgação:

• 55% possui natureza in re ipsa;
• 45% não possui natureza in re ipsa;

– Cobranças e Proteção ao Crédito:

• 36% possui natureza in re ipsa
• 64% não possui natureza in re ipsa

– Cobranças e proteção ao crédito:

As decisões motivadas por cobranças ou proteção ao crédito exigem a comprovação do dano moral para a configuração de indenização (64%).

– Compartilhamento ou divulgação:

Nos casos de julgados motivados por compartilhamento ou divulgação de dados pessoais, verificou-se tendência a favor do entendimento de que o mero fato ilícito é suficiente para ensejar a indenização por danos morais, muito embora os tribunais se apresentem divididos quanto ao tema (55%).

• Atuação da ANPD no âmbito administrativo

Além das ações judiciais mencionadas acima, a Autoridade Nacional de Proteção de Dados também vem atuando para garantir a fiscalização e cumprimento das disposições da LGPD no âmbito administrativo.

Dentre as funções da ANPD, destaca-se a adoção de atividades de monitoramento, orientação e de prevenção, no âmbito do processo de fiscalização que, a depender do resultado, poderá dar início à atividade repressiva por meio do Processo Administrativo Sancionador.

No exercício de sua competência fiscalizatória, a ANPD pode atuar (i) de ofício, (ii) em decorrência de programas periódicos de fiscalização, (iii) de forma coordenada com órgãos e entidades públicos, ou (iv) em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Já o Processo Administrativo Sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD, nos termos do artigo 55-J, IV, da LGPD, e pode ser instaurado (i) de ofício pela Coordenação-Geral de Fiscalização, (ii) em decorrência do processo de fiscalização, ou (iii) diante de requerimento em que a CGF, após efetuar a análise de admissibilidade, deliberar pela abertura imediata de processo sancionador.

Assim, destacamos abaixo as principais estatísticas divulgadas pela ANPD, que incluem dados até o terceiro trimestre de 2023:

– Total de incidentes de segurança reportados desde janeiro de 2021: 733

– Total de requerimentos recebidos desde janeiro de 2021: 2.646

– Processos de fiscalização concluídos: 16

– Processos de fiscalização em andamento: 13

– Processos de fiscalização que se transformaram em Processos Administrativos Sancionadores: 9

– Sanções aplicadas: 3

Analisaremos cada uma separadamente a seguir:

• Total de incidentes de segurança reportados desde janeiro de 2021

Dentre os 733 incidentes de segurança reportados, somente 274 foram categorizados pelos agentes em relação ao tipo de incidente de segurança, tendo em vista que somente a partir de janeiro de 2023 passou a ser utilizada a nova versão do Formulário de Comunicação de Incidente de Segurança que continha essa informação. Assim, os incidentes reportados dividem-se nas seguintes categorias:

Importante destacar que cerca de 40% dos comunicados sobre incidente de segurança da informação envolveram sequestro de dados (ransomware), que se caracteriza pelo uso de um software malicioso para bloquear e/ou transferir dados de computadores e servidores e em troca de pagamento como forma de resgate e retorno ao controle do dispositivo e dos dados sequestrados.

• Total de requerimentos recebidos desde janeiro de 2021

Desde janeiro de 2021, a ANPD recebeu 2.646 requerimentos (denúncias ou petições de titulares) solicitando a fiscalização para o cumprimento da legislação de proteção de dados pessoais em relação aos titulares dos dados.

As petições são instrumentos utilizados para que os titulares de dados comuniquem à ANPD uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação. Já as denúncias são comunicações feitas à ANPD por qualquer pessoa, natural ou jurídica, sobre uma suposta infração cometida contra a legislação de proteção de dados pessoais brasileira, que não seja uma petição de titular.

• Processos de fiscalização concluídos

A ANPD já conduziu e arquivou 16 processos de fiscalização, conforme detalhado a seguir:

• Processos de fiscalização em andamento

Além dos processos já concluídos, existem atualmente 13 processos de fiscalização sendo investigados pela CGF para verificação de conformidade do tratamento de dados pessoais, conforme detalhado abaixo:

• Processos de Fiscalização que se transformaram em Processos Administrativos Sancionadores

Até o segundo trimestre de 2023, a ANPD divulgou a existência de 8 processos administrativos sancionadores, conforme destacado abaixo:

Alguns processos de fiscalização são transformados em Processos Administrativos Sancionadores para investigar com profundidade casos em que há indicação de que houve violação à LGPD e regulamentações de proteção de dados pessoais. Nos casos em que houver comprovação das violações a ANPD/CGF virá a aplicar sanções.

Em março de 2023, a ANPD divulgou a lista de processos administrativos sancionadores que foram instaurados até então. A lista é compreendida por órgãos públicos e apenas uma empresa privada, que até o momento, foi a única condenada a aplicação de sanção administrativa por parte da Autoridade.

• Sanções aplicadas

A ANPD aplicou, até o momento, três sanções, e dentre elas, apenas uma sanção de multa pelo descumprimento de da LGPD após a finalização do processo administrativo sancionador que estava em trâmite:

[1] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

compartilhe