O encarregado pelo tratamento de dados pessoais do Sistema OCB, Cristhian Groff, participou, no dia 12 de setembro, da audiência pública promovida pela ANPD para debater a proposta de resolução que trata sobre o regulamento de transferências internacionais de dados pessoais e do modelo de cláusulas-padrão contratuais.

Groff apresentou sugestões de alteração no texto normativo a partir do ponto de vista do movimento cooperativista brasileiro.

“Apresentamos alguns dos pontos que entendemos de grande importância para que o regulamento atenda as expectativas das nossas cooperativas. Outras sugestões ainda estão sendo reunidas e serão enviadas para a ANPD por meio da consulta pública que em andamento”

Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.

Segundo o encarregado, entre os principais pontos abordados durante a audiência pública, destacaram-se a alteração do prazo para implementação das cláusulas-padrão contratuais; a inclusão de disposições nos regramentos do mecanismo “Decisão de Adequação”; e a inclusão de disposições nos regramentos do mecanismo “Normas Corporativas Globais”.

O Sistema OCB vem acompanhando o processo de regulamentação da transferência internacional de dados pessoais, uma vez que há inúmeras atividades e rotinas realizadas por cooperativas que envolvem o compartilhamento de dados pessoais com organizações localizadas em outros países (servidores de armazenamento, plataformas digitais, relacionamento institucional etc.)

A ANPD também divulgou o início da consulta pública sobre a minuta de Resolução referente ao tems, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD. A consulta pública está disponível na Plataforma Participa Mais Brasil até o dia 14 de outubro de 2023.

Confira aqui as primeiras impressões sobre a minuta divulgada pela ANPD

A íntegra da consulta pública está disponível no canal Youtube da ANPD

Grouff lembrou também que é indispensável que as cooperativas envolvam seus encarregados pelo tratamento de dados pessoais na avaliação da minuta disponibilizada e no monitoramento das próximas etapas do processo regulatório.

Além disso, ele recomendou o início do levantamento interno das transferências internacionais realizadas nas atividades do cotidiano. “Essa medida trará mais celeridade ao processo de adequação das transferências, após a disponibilização da versão final do regulamento”, completou.

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD sobre proteção de dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) abriua consulta pública sobre o estudo preliminar realizado pela entidade para tratar a hipótese de tratamento de dados pessoais de legítimo interesse. A consulta está disponível na plataforma Participa Mais Brasil até o dia 30 de setembro.

Os interessados podem apresentar contribuições sobre o texto elaborado no estudo, inclusive compartilhando exemplos concretos de situações em que a hipótese de tratamento foi utilizada e informações sobre as medidas de transparência adotadas

O estudo apresenta sete aspectos que devem ser avaliados pelos agentes de tratamento para a utilização da hipótese legal de legítimo interesse:

• Natureza dos dados pessoais: utilizar somente nas atividades de tratamento que envolvem dados pessoais. Em atividades que envolvem dados pessoais sensíveis, o agente de tratamento deve verificar outra hipótese que ampare o tratamento, dentre as previstas no artigo 11 da LGPD;
• Dados pessoais de crianças e adolescentes: considerar, de forma prioritária, o melhor interesse da criança ou do adolescente, prevalecendo a interpretação que atenda ao melhor interesse destes titulares. É recomendável a existência de relação prévia e direta do controlador com os titulares e que o tratamento vise assegurar a proteção dos direitos e interesses deles ou viabilizar a prestação de serviços que o beneficiem;
• Interesse legítimo: verificar se o seu interesse é legítimo, mediante a análise de três condições: a) compatibilidade com o ordenamento jurídico; b) relacionado com situações reais e presentes; e c) vinculação a finalidades legítimas, específicas e explícitas;
• Interesse do controlador ou de terceiro: identificar se o interesse será do próprio controlador ou de um terceiro. Em ambos os cenários, os requisitos da hipótese de tratamento são igualmente aplicáveis;
• Direitos e liberdades fundamentais: os riscos aos direitos e liberdades fundamentais dos titulares devem ser identificados e mitigados. O titular deve ser envolvido na operação de tratamento de dados pessoais e ter assegurada a possibilidade de se opor ao tratamento, por meio de mecanismos de fácil utilização pelos titulares;
• Legítima expectativa do titular: demonstrar que a finalidade pretendida é, razoavelmente, esperada pelos titulares que terão seus dados pessoais tratados, mediante a análise de diversos fatores, tais como: a) existência de relação prévia do controlador com o titular; b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realizada diretamente pelo controlador, compartilhados por terceiros ou coletados de fontes públicas; c) o contexto e o período de coleta dos dados; e d) finalidade original e a sua compatibilidade com o tratamento baseado no legítimo interesse;
• Necessidade, transparência e registro das operações: tratar somente os dados indispensáveis e mediante adoção de mecanismos que assegurem transparência e informações para os titulares de dados pessoais. A atividade deve ser mantida no registro de operações de tratamento de dados pessoais.

A avaliação dos aspectos se dará por meio da aplicação do teste de balanceamento (também conhecido como Avaliação de Legítimo Interesse). O documento é considerado indispensável para  que as cooperativas estejam em conformidade com a LGPD (Saiba quais são os documentos essenciais).

Por isso, é fundamental que as cooperativas revisem testes de balanceamento já adotados para identificar se cumprem os requisitos do modelo proposto no Anexo 2 do Estudo Preliminar.

Importante:

O Estudo Preliminar sugere que o teste de balanceamento seja igualmente aplicado nas operações de tratamento realizadas com base na hipótese de tratamento “Garantia da prevenção à fraude e à segurança do titular” prevista no artigo 11, inciso II, alínea “g”, da LGPD, uma vez que a parte final deste dispositivo e daquele que estabelece o “Legítimo Interesse” possuem a mesma ressalva de aplicabilidade, ou seja “exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.”

A hipótese de tratamento do legítimo interesse está prevista no artigo 7º, inciso IX, da Lei Geral de Proteção de Dados Pessoais (LGPD) e pode ser utilizada pelos agentes de tratamento de dados pessoais (ou seja, cooperativas) quando a operação de tratamento de dados envolver exclusivamente dados pessoais.

Isso quer dizer que dados pessoais sensíveis (O que são dados pessoais?) não podem ser tratados pelas cooperativas com fundamento, uma vez que a hipótese de tratamento não foi replicada no artigo 11 da Lei que estabelece o rol de hipóteses aplicáveis a essa categoria de dados pessoais.

O uso do legítimo interesse pelas cooperativas é imprescindível para o desenvolvimento de diversas operações de tratamento de dados pessoais que fomentam direta ou indiretamente o cooperativismo no país. No entanto, a sua utilização exige cautela. É aconselhável o envolvimento do DPO para que o documento divulgado seja avaliado e utilizado como referência para os ajustes cabíveis nas atividades internas, ainda que seja preliminar e possa sofrer alterações pela ANPD, após a conclusão da consulta pública.

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD envolvendo as hipóteses de tratamento de dados pessoais previstas na LGPD.

O Sistema OCB tem acompanhado de perto a regulamentação da transferência internacional de dados pessoais em razão da atuação significativa de cooperativas no cenário internacional, além das diversas rotinas e atividades que envolvem, em maior ou menor grau, a realização de transferência de dados pessoais para outros países (Ex.: servidores de armazenamento, plataformas digitais, etc.).

O Grupo Temático do Conselho Nacional de Proteção de Dados (CNPD), responsável por propor diretrizes estratégicas relacionadas à transferência internacional de dados pessoais convidou o Sistema OCB para falar sobre o tema aplicado a realidade do cooperativismo. A participação se deu por meio de entrevista com o encarregado pelo tratamento de dados pessoais da organização, Cristhian Homero Groff, e pelo envio de documento contendo respostas para um rol de questionamentos apresentados pelo grupo.

A Agência Nacional de Proteção de Dados (ANPD) também divulgou o início da consulta pública sobre a minuta de Resolução que se refere ao Regulamento de Transferências Internacionais de Dados Pessoais e ao modelo de Cláusulas-Padrão Contratuais, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD. A consulta está disponível na plataforma Participa Mais Brasil até o dia 14 de setembro de 2023.

A minuta divulgada busca regular a transferência de dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro, bem como os modelos de Cláusulas-Padrão Contratuais (CPC), o fluxo de aprovação das Cláusulas Específicas (CE) e Normas Corporativas Globais (NCG), além do mecanismo da Decisão de Adequação.

As hipóteses legais e modalidades de transferência internacional são, resumidamente:

Decisão de adequação

O que é: instrumento pelo qual a ANPD reconhece, por decisão do Conselho Diretor, de ofício ou após solicitação das pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527/2011, que determinado país estrangeiro ou de organismo internacional apresenta equivalência do nível de proteção de dados pessoais com a LGPD.

Requisitos: o mecanismo é realizado por meio de um processo de avaliação do nível de proteção de dados pessoais que levará em consideração (i) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos na LGPD; (iv) a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; (v) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e (vi) outras circunstâncias específicas relativas à transferência.

Cláusulas-padrão contratuais (CPC)

O que é: instrumento que estabelece garantias mínimas e condições válidas para a realização de transferência internacional de dados baseadas no inciso II, alínea b, do art. 33 da LGPD.

Requisitos: devem ser utilizadas como parte de contrato específico para reger a transferência internacional de dados ou incorporadas a um contrato de objeto mais amplo. As disposições previstas no instrumento contratual ou em contratos coligados firmados entre as Partes não podem excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais.

Ponto de atenção: O agente de tratamento designado nas cláusulas-padrão contratuais deverá (i) disponibilizar ao titular, em caso de solicitação, o instrumento contratual utilizado para a realização da transferência internacional de dados, observados os segredos comercial e industrial; e (ii) publicar em sua página na Internet documento contendo informações redigidas em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados.

Equivalência de cláusulas de outros países: a minuta prevê a possibilidade do agente de tratamento solicitar à ANPD o reconhecimento de equivalência de cláusulas-padrão contratuais de outros países ao padrão adotado e indicado no Anexo 2 da Resolução. Uma vez reconhecida a equivalência, o documento poderá ser utilizado por outros agentes de tratamento, constituindo modalidade válida para a realização de transferências internacionais de dados, na forma do art. 33, II, b, da LGPD, observadas as condicionantes estabelecidas na decisão do Conselho Diretor.

Cláusulas contratuais específicas

O que é: instrumento que estabelece garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e no Regulamento para ser utilizado pelo controlador em razão da singularidade de determinadas transferências, desde que as cláusulas-padrão contratuais estabelecidas no Anexo 2 da Resolução não possam ser utilizadas em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas.

Requisitos: o controlador deverá apresentar o instrumento contratual que regerá a transferência internacional de dados, contendo as cláusulas específicas, para a aprovação pela ANPD.

Normas Corporativas Globais

O que é: instrumento que estabelece normas vinculantes para possibilitar a realização de transferência internacional de dados entre organizações do mesmo grupo econômico.

Requisitos: as normas corporativas globais devem ser submetidas à aprovação da ANPD e conter, no mínimo: (i) especificação das categorias de transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados; (ii) identificação dos países para os quais os dados são transferidos; (iii) estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais; (iv) determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo econômico, inclusive para seus funcionários; (v) delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável; (vi) indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD; (vii) regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e (viii) previsão de comunicação à ANPD em caso de alterações nas garantias apresentadas, especialmente na hipótese em que um dos membros do grupo estiver submetido a determinação legal de outro país que impeça o cumprimento das normas corporativas.

Prática

As informações preliminares sobre a regulação das transferências internacionais disponibilizadas pela ANPD demonstram a importância e a complexidade que o tema possui. Por isso, recomenda-se que as cooperativas envolvam seus Encarregados pelo tratamento de dados pessoais na avaliação da minuta disponibilizada e iniciem o levantamento das transferências internacionais realizadas para que, a partir disso e após a publicação da resolução, sejam iniciados os procedimentos de adequação com o uso do(s) instrumento(s) jurídico(s) pertinente(s).

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD sobre proteção de dados pessoais. 

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou a lista dos candidatos para a segunda formação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). P prazo para candidaturas encerrou no último dia 18 e, no total, foram recebidas 71 indicações para 13 vagas de membros titulares e 13 suplentes. Destes, 37 estão nas listas tríplices elaboradas pela ANPD e remetidas para a Presidência da República.

O Sistema OCB, desde a sanção da LGPD, tem planejado e implementado uma série de ações relacionadas à conformidade em proteção de dados pessoais, tanto no seu ambiente interno, como para o movimento cooperativista como um todo. E, para dar continuidade à sua atuação, indicou o assessor jurícido do Sescoop, Fernando Bueno Fernandes, para uma das três vagas destinadas às confederações sindicais. O nome  integra as listas tríplices disponibilizadas pela ANPD.

O CNPD é um órgão consultivo , composto por membros da sociedade civil e representantes do poder público. A sua existência está prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) e suas principais atribuições, descritas no artigo 58-B, compreendem a proposição de diretrizes estratégicas e de subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais; a elaboração de relatórios anuais de avaliação da execução das ações da política nacional; a sugestão de ações a serem realizadas pela ANPD; a elaboração de estudos e realização de audiências pública; e a disseminação do conhecimento sobre a proteção de dados pessoais à população.

O órgão é composto por 23 (vinte e três) representantes da sociedade civil, titulares e suplentes, que se reúnem em caráter ordinário três vezes ao ano e em caráter extraordinário sempre que convocado por seu presidente.

Quadro 1: Composição do CNPD

Próximos passos:

As listas tríplices foram encaminhadas ao Ministro Chefe da Casa Civil e, em breve, a partir dos candidatos que constam nas listas, o Presidente da República deve realizar as nomeações, conforme disposto no Decreto nº 10.474/2020.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou o  guia orientativo Tratamento de Dados Pessoais para fins Acadêmicos que contempla diretrizes gerais para o cumprimento da Lei Geral de Proteção de Dados (LGPD) em atividades realizadas para fins exclusivamente acadêmicos e em estudos realizados por órgãos de pesquisa.

O objetivo é esclarecer dúvidas sobre as hipóteses legais que autorizam o tratamento de dados pessoais e a disponibilização de acesso ou compartilhamento dessas informações para a realização de estudos. Segundo o coordenador-geral de Normatização da ANPD, Rodrigo Santana, a publicação do guia é “fundamental para trazer maior segurança jurídica e regulatória para quem atua na área acadêmica ou realiza estudos e projetos que envolvam o tratamento de dados pessoais”.

O guia está estruturado em cinco núcleos. O primeiro, Regime jurídico, apresentaos  contornos gerais do regime jurídico especial estabelecido pela LGPD para o tratamento de dados pessoais para fins acadêmicos e para realização de estudos e pesquisas; o núcleo Fins acadêmicos traz uma análise da aplicação parcial da LGPD ao tratamento de dados pessoais realizado para fins exclusivamente acadêmicos, enquanto Estudos e pesquisas detalha as hipóteses legais aplicáveis ao tratamento de dados pessoais para fins de realização de estudos e pesquisas.

O quarto núcleo, Disponibilização de acesso a dados, apresenta recomendações para a disponibilização de acesso ou compartilhamento de dados pessoais para fins de realização de estudos e pesquisas e o último núcleo, Padrões éticos,  traz considerações sobre as relações entre a LGPD e os padrões éticos aplicáveis às pesquisas com seres humanos.

Entre as informações disponibilizadas no guia é possível destacar pontos relevantes como:

• De acordo coma ANPD, a inaplicabilidade da LGPD prevista no artigo 4ª, inciso II, alínea “b” não atinge as atividades realizadas pelas instituições de ensino com objetivos comerciais, financeiros e de marketing. Ou seja, esta restrita às atividades puramente acadêmicas e não em outras dinâmicas de comercialização, comunicação ou organização de tais atividades.
• A inaplicabilidade ou flexibilização do cumprimento da LGPD quando atividades acadêmicas são realizadas, não dispensa os agentes de tratamento de observarem outros dispositivos que estejam conectados ao tema. Exemplo: se o tratamento realizado para fins acadêmicos estiver amparado no consentimento do titular, este deverá observar os requisitos do consentimento (manifestação livre, informada e inequívoca), critérios para dispensa de exigência de consentimento (art. 7º, §§ 4º e 6º), necessidade de comunicação ou compartilhamento de dados com outros controladores (art. 7º, § 5º) a forma como deve ser dado o consentimento (art. 8º) e observar os direitos assegurados aos titulares (art. 9º, §§ 1º e 2º e art. 18);
• A possibilidade de utilização secundária dos dados pessoais que haviam sido tratados para fins exclusivamente acadêmicos, desde que haja base legal adequada que justifique o novo tratamento. Exemplo: se os dados forem necessários para atender a um legítimo interesse do controlador, desde que não se sobreponha aos direitos e liberdades fundamentais do titular, limite-se aos dados estritamente necessários para a nova finalidade (art. 10, §1º), garanta a transparência do tratamento (art. 10, §2º) e mantenha a atividade no registro das operações de tratamento de dados pessoais (art. 37).

A preocupação da ANPD fica clara quanto a observância do princípio da “transparência”. Por esta razão, é indispensável que os agentes de tratamento adotem sempre mecanismos claros para assegurar a transparência nas suas atividades (Ex.: avisos de privacidade), para que os titulares não sejam surpreendidos com a utilização de suas informações, especialmente quando o tratamento é secundário, ou seja, utilizado para finalidades diversas daquelas que geraram a necessidade da coleta dos dados do titular.

Cenário atual

A Autoridade Nacional de Proteção de Dados (ANPD) tem atuado constantemente na divulgação de materiais que buscam esclarecer e orientar sobre diversos aspectos relacionados com a Lei Geral de Proteção de Dados Pessoais (LGPD).

O site da ANPD já disponibiliza sete guias orientativos e dois fascículos sobre proteção de dados pessoais.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.

Já não é mais novidade que as organizações privadas (empresas e cooperativas, por exemplo) e públicas que realizam tratamento de dados pessoais (ou seja, que utilizam dados de pessoas físicas – colaboradores, clientes, associados, prospects, dentre outros) devem se adequar à Lei Geral de Proteção de Dados Pessoais - LGPD.

Para aquelas organizações que ainda não se adequaram, mais um estímulo: foi aplicada, pela Autoridade Nacional de Proteção de Dados (ANPD), a primeira penalidade administrativa pelo descumprimento da legislação.

A penalidade foi aplicada contra uma microempresa da cidade de Vila Velha (ES) que atua no mercado de telecomunicações, marketing e teleatendimento. Entre as infrações identificadas pela autoridade foram destacadas a ausência de indicação do Encarregado pelo tratamento de dados pessoais (Art. 41 da LGPD); de hipótese legal aplicável ao tratamento de dados pessoais (Artigo 7º da LGPD); de Relatório de Impacto à Proteção de Dados Pessoais e Registro das Operações de Tratamento de Dados Pessoais; e obstrução à atividade de fiscalização da ANPD (Artigo 5º do Regulamento de Fiscalização).

Em razão dos descumprimentos identificados, a empresa recebeu como penalidade uma advertência e uma multa simples no valor de R$ 14.400,00. As sanções foram definidas de acordo com o regulamento que estabelece a dosimetria das penalidades (Saiba mais sobre o regulamento).

Muito embora as micro e pequenas empresas resistam à implementação de programas de conformidade, a penalidade aplicada inaugura um novo momento para a proteção de dados pessoais no país. Isso porque, o discurso de que a fiscalização do cumprimento da LGPD alcançaria apenas grandes empresas ou organizações, antes já duvidoso, foi superado.

Medidas que podem ser adotadas pela empresa

A partir da notificação, a empresa penalizada poderá adotar as ações indicadas abaixo:

Conclusões preliminares 

A partir das penalidades aplicadas, Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB, indica que algumas conclusões preliminares podem ser extraídas do processo. Segundo ele, diversas situações que não envolvem vazamento de dados pessoais podem se caracterizar como descumprimento à LGDP. “Medidas organizacionais e de governança, por exemplo, quando não implementadas, poderão gerar a aplicação de penalidades”, explica.

Ainda de acordo com ele, é sempre muito importante nomear e manter um Encarregado pelo tratamento de dados pessoais, capacitado para o exercício da função, tanto para atender a legislação como para contribuir para que as solicitações da ANPD sejam atendidas pelos agentes de tratamento. “Além disso, confeccionar documentos obrigatórios, como o Relatório de Impacto à Proteção de Dados Pessoais e outros que demonstrem conformidade, é essencial”, complementa.

O encarregado lembra ainda que os agentes de tratamento de pequeno porte não estão isentos de cumprir as regras estabelecidas na LGPD e também estão no radar de fiscalização da ANPD.

Dica: Confira a matéria em que abordamos os documentos essenciais para a conformidade com a LGPD.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização e/ou punição pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade.

O Banco Central do Brasil e o Conselho Monetário Nacional, publicaram a Resolução Conjunta nº 06/2023 que estabelece requisitos para o compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, de pagamento e outras autorizadas a funcionar pelo Banco Central do Brasil.  

A norma entra em vigência em 1º de novembro de 2023 e cria diversas obrigações que devem ser integralmente observadas pelas cooperativas de crédito - algumas delas refletem diretamente nos programas de proteção de dados pessoais e, por consequência, no cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD - Lei 13.709/2018). 

O Sistema OCB disponibilizou um parecer jurídico que apresenta análise detalhada das disposições previstas na resolução, bem como as ações que as cooperativas de crédito devem adotar para cumprir seus termos em conformidade com a LGPD. Em resumo, o documento aborda os seguintes aspectos: 

• Apresenta uma breve contextualização sobre o compartilhamento instituído pelo normativo; 
• Relaciona os requisitos que devem estar presentes nos sistemas eletrônicos utilizados para a execução da atividade; 
• Destaca as regras que devem ser observadas nos relacionamentos com terceiros; 
• Descreve os cuidados necessários para a realização dos compartilhamentos; 

• Apresenta os prazos de retenção obrigatória;  
• Realiza uma análise jurídica da resolução conjunta e o seu relacionamento com as regras contidas na LGPD. 

O parecer apresenta ainda um rol de ações que devem ser adotadas pelas cooperativas de crédito para que o compartilhamento de dados e informações sobre indícios de fraudes ocorra em conformidade com as disposições do normativo publicado e a LGPD. 

O Sistema OCB reforça seu compromisso de promover ações que possibilitem o crescimento sustentável e adequado do cooperativismo no país, a partir do compartilhamento de diretrizes para que não apenas a legislação de proteção de dados pessoais seja observada, como também outros normativos que impactem direta ou indiretamente nas operações das cooperativas. 

Elaboramos um parecer jurídico que apresenta análise detalhada sobre a Resolução Conjunta nº 06/2023, que estabelece requisitos para o compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, de pagamento e outras autorizadas a funcionar pelo Banco Central do Brasil.

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, no último dia 14, o modelo de registro simplificado de operações de tratamento de dados pessoais destinado aos agentes de tratamento de pequeno porte (ATPP). O registro é um dos documentos obrigatórios indicados na Lei Geral de Proteção de Dados (LGPD) e pode ser definido como uma compilação estruturada das operações de tratamento realizadas na estrutura organizacional das cooperativas. 

Resultado de consulta pública realizada pela ANPD e 2022, o modelo recebeu contribuições de diferentes setores da sociedade, inclusive do Sistema OCB que apresentou sugestões para a melhoria do documento. Mais do que simplesmente cumprir uma obrigação legal, o registro também contribui com a implementação dos controles necessários para atender aos princípios e demais obrigações previstas na legislação.

Imagem do modelo disponibilizado pela Autoridade Nacional 

O novo modelo atende às disposições previstas na Resolução CD/ANPD nº 2/2021, que definiu medidas simplificadas para que os chamados agentes de tratamento cumpram as normas estabelecidas. Entre elas, estão as medidas de segurança da informação presentadas pela ANPD no guia orientativo sobre segurança da informação (Confira a matéria sobre este tema).

Art. 9º Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada.

Parágrafo único. A ANPD fornecerá modelo para o registro simplificado de que trata o caput.

Segundo a ANPD, o documento apresenta os campos essenciais para que a Coordenação-Geral de Fiscalização possa receber dos agentes as informações básicas e necessárias para possibilitar o exercício da atividade fiscalizatória da autoridade. 

O formulário apresenta os seguintes campos a serem preenchidos: 

• Informações de contato; 
• Categorias de titulares; 
• Compartilhamento; 
• Dados pessoais; 
• Medidas de segurança; 

• Período de armazenamento; 
• Processo, finalidade e hipótese legal; 
• Observações. 

As cooperativas que se enquadram na condição de agente de tratamento de pequeno porte, devem envolver os encarregados pelo tratamento de dados pessoais ou profissionais responsáveis pelo tem, na avaliação do modelo simplificado disponibilizado com o objetivo de avaliar se os registros de operações existentes estão adequados ao modelo simplificado divulgado. 

Já para as cooperativas que não sejam agentes de pequeno porte, recomenda-se que identifiquem se os registros de suas operações de tratamento apresentam os elementos trazidos no procedimento simplificado, uma vez que o documento pode ser utilizado como parâmetro para a implementação de melhorias nos programas de conformidade com a LGPD. 

Gostou do tema? Nos acompanhe e fique por dentro de todos os modelos de documentos publicados pela ANPD voltados aos programas de proteção de dados pessoais. 

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 24, enunciado que fixa entendimento para as possibilidades interpretativas do artigo 14 da Lei Geral de Proteção de Dados Pessoais (LGPD).

ENUNCIADO CD/ANPD Nº 1, DE 22 DE MAIO DE 2023

"o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei"

O enunciado é resultado do estudo preliminar conduzido pela ANPD em 2022 (Confira aqui mais informações sobre ele) e da consulta pública que resultou na coleta de 78 contribuições, oriundas de 12 estados brasileiros e de diferentes setores da sociedade. O Sistema OCB também participou deste movimento.

O enunciado reforça entendimento preliminar da ANPD e reafirma a possibilidade de tratar dados pessoais de crianças e adolescentes com base em outras hipóteses além do consentimento, incluindo execução de contrato, cumprimento de obrigação legal ou até mesmo o legítimo interesse do controlador.

O documento também traz mais segurança jurídica aos agentes de tratamento de dados, elimina possíveis divergências interpretativas e desburocratiza o tratamento dos dados pessoais de crianças e adolescentes, uma vez que, até então, por cautela, as atividades se justificavam apenas no consentimento do responsável legal da criança ou adolescente.

A ANPD sinalizou ainda que está trabalhando na elaboração de um guia sobre o uso da hipótese de tratamento “Legítimo Interesse”, o qual contará com orientações especificas para atividades envolvendo dados pessoais de crianças e adolescentes.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou lista sobre os processos administrativos de fiscalização que estão em curso para investigar eventuais descumprimentos das disposições da Lei Geral de Proteção de Dados Pessoais (LGPD). A relação conta com 16 processos movidos contra 27 organizações públicas e privadas.

Os processos de fiscalização são distintos dos administrativos sancionadores, uma vez que estes são instaurados para aplicação de sanções. Entenda as diferenças:

Processo de fiscalização:

Tem por objetivo avaliar o cumprimento da LGPD durante as atividades realizadas por determinada organização pública ou privada. Neles, a ANPD investiga o descumprimento de obrigações relacionadas à proteção de dados pessoais, podendo solicitar informações para as organizações investigadas e realizar auditorias. A Autoridade, pode ainda, propor medidas preventivas e planos de conformidade para que as organizações investigadas cumpram as disposições da LGPD. A partir do processo de fiscalização e a depender dos seus resultados, pode ser iniciado processo sancionador.

Processo sancionador:

Tem por objetivo aplicar sanções pelo descumprimento da LGPD. De acordo com a ANPD, normalmente é instaurado “quando já estão presentes indícios probatórios de infração”.  São conduzidos pela Coordenação-Geral de Fiscalização e asseguram o contraditório, a ampla defesa e o direito de recorrer. Os recursos são julgados pelo Conselho Diretor da ANPD. Além disso, as penalidades pelo descumprimento da Lei são diversas, incluindo advertência, bloqueio e suspensão de bancos de dados, além de multa de até 50 milhões de reais por infração.

Confira abaixo a lista de processos de fiscalização em curso:

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade.

A Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou em seu site um guia online com informações detalhadas sobre os passos necessários para o envio de denúncias e petições/solicitações pelos titulares de dados pessoais. O objetivo é orientar sobre quando e como é possível contatar a ANPD para resolução de demandas envolvendo essas informações.

Segundo a ANPD, todos os requerimentos (Denúncias ou Petições) devem ser realizados a partir do preenchimento de formulários próprios e enviados por meio do Sistema Único de Processo Eletrônico em Rede (Sistema SUPER). No sistema, o titular deve indicar o tipo de processo desejado (Denúncia ou Petição) e juntar o formulário relacionado devidamente preenchido, juntamente com os demais documentos pertinentes ao caso. 

Formulário de Denúncia Imagem extraída do site da ANPD		Formulário de Petição Imagem extraída do site da ANPD

A ANPD esclarece que as denúncias ou petições realizadas através do sistema SUPER obrigatoriamente devem conter a identificação da pessoa. As denúncias anônimas, contudo, podem ser apresentadas por meio da plataforma Fala.br. 

Denúncias x Petições 

Denúncias: São comunicações feitas por qualquer pessoa à ANPD sobre supostas infrações à LGPD. Pode ser realizada de forma anônima. Exemplos: 

• Tratamento discriminatório dos dados pessoais; 
• Coleta excessiva de dados pessoais; 
• Ausência de nomeação do encarregado pelo tratamento dos dados pessoais; 
• Inexistência de canal de comunicação para o exercício de direitos; 

• Ausência de medidas de segurança adequadas; 
• Ausência de política de privacidade, entre outros. 

Petições: Solicitação realizada junto a ANPD pelo titular de dados pessoais quando não consegue exercer seus direitos junto ao controlador dos dados pessoais (ex.: organização pública ou privada que trata as informações). A ANPD reforça que o direito de petição somente será atendido se houver comprovação de que anteriormente o titular tentou contatar o controlador e não obteve sucesso. Não pode ser realizada de forma anônima.  

Descomplicando... 

• Caso a solicitação envolva os seus dados pessoais ou de uma pessoa que você represente (menor de idade, por exemplo), é assegurado o direito de peticionar/solicitar ou denunciar uma irregularidade;

• Caso a solicitação envolva dados pessoais exclusivamente de terceiros, é assegurado o direito de denunciar uma irregularidade.

A ANPD também desenvolveu um fluxograma didático para auxiliar na identificação de qual procedimento deve ser adotado, a depender da situação experimentada. Confira abaixo:

Informações importantes sobre as denúncias 

Denúncias não relacionadas à LGPD ou realizadas de forma genérica não serão admitidas. Para que elas sejam recebidas e processadas, precisam ser:

• Claras;

• Conter situação específica envolvendo dados pessoais; e
• Tratar sobre descumprimento da LGPD.

A ANPD reforça seu papel orientativo em relação às boas práticas de proteção de dados pessoais. É imprescindível que as cooperativas atendam adequadamente as solicitações das pessoas com as quais se relacionam, evitando que realizem denúncias ou solicitações para o órgão regulador.

Vale recordar que a não nomeação do DPO, não atendimento aos direitos assegurados pela LGPD e a inexistência de canal para atendimento aos direitos, configura descumprimento da LGPD e pode resultar na instauração do processo administrativo sancionador e na aplicação de penalidades administrativas.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de orientação pela ANPD para que as cooperativas possam monitorar os impactos gerados na estruturação e manutenção dos programas de conformidade.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente o Relatório de Gestão da Ouvidoria, contendo o número de manifestações recebidas no período de 2022, os motivos das manifestações, análise de demandas recorrentes e providências adotadas para solução dos pleitos apresentados. O documento mostra que as solicitações de esclarecimentos quanto à aplicabilidade da lei (58%) e as petições e denúncias contra controladores de dados pessoais (15%) foram os itens mais frequentes.

Do total de 2.899 manifestações recebidas, 2.364 envolviam questões diretamente ligadas com a LGPD, sendo 1.684 pedidos de esclarecimentos quanto a aplicabilidade da LGPD; 425 petições de titulares e denúncias contra controladores de dados; e 255 consultas acerca da aplicabilidade da lei em casos específicos.

A partir do relatório, é possível identificar que as situações voltadas ao exercício de direitos dos titulares ou à adequação da LGPD são os assuntos que mais incitaram dúvidas e questionamentos. Outro ponto importante se deve ao fato de que 685 manifestações resultaram na orientação de que o envio de petição à ANPD deve ocorrer após o controlador dos dados já ter sido acionado, conforme prevê o art. 55-J, §6º da LGPD e o art. 26 da Resolução CD/ANPD nº 1, de 2021.

Assim, a ANPD reforçou a necessidade de as pessoas buscarem o exercício de seus direitos junto ao controlador dos dados pessoais e, somente após esse contato, caso não tenha sucesso, peticionar perante a autoridade.

As informações apresentadas pela Ouvidoria da ANPD confirmam o fortalecimento da matéria de proteção de dados pessoais nas organizações e sociedade em geral, fruto do amadurecimento do tema decorrente da atuação e do avanço regulatório da matéria.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca da atuação ativa da ANPD para que as cooperativas possam monitorar os riscos e os pontos de atenção necessários para a manutenção dos programas de conformidade.

Em recente decisão, a Segunda Turma do Superior Tribunal de Justiça (STJ) determinou, por unanimidade, que o vazamento de dados pessoais comuns, definidos pela Lei Geral de Proteção de Dados (LGPD), não gera, por si só, indenização por danos morais, ainda que seja uma falha indesejável em sistemas ou outros ambientes.

O entendimento foi estabelecido em um recurso especial (nº 2.130.619/SP) interposto pela Eletropaulo contra um acordão do Tribunal de Justiça de São Paulo (TJSP) que havia condenado a concessionária a pagar indenização por danos morais, no valor de R$ 5 mil, em razão do vazamento de dados pessoais de uma cliente. De acordo com o STJ, os dados pessoais vazados eram de natureza comum, fornecidos em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, protegidos por sigilo, e o conhecimento por terceiros em nada violaria o direito de personalidade da cliente.

Em seu voto, o Ministro Francisco Falcão, sinalizou que “diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano”. Ainda segundo ele, “O vazamento de dados pessoais, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações”.

A LGPD estabelece um rol de penalidades administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Além delas, os titulares de dados pessoais podem questionar a regularidade das atividades realizadas pelas cooperativas e outras organizações e o cumprimento da lei por meio de processos judiciais, requerendo, como no caso descrito, pagamento de indenização por danos materiais ou morais.

O número de processos ajuizados com fundamento na LGPD apresenta crescimento constante. Em 2021, de acordo com o jornal Folha de São Paulo, eram mais de 600 ações que discutiam questões relacionadas ao tratamento de dados pessoais. Recentemente, o site Jota veiculou matéria, indicando que entre 2020 e 2022 aumentou em 500% o volume de processos julgados pelos tribunais.

O recente posicionamento do STJ demonstra que os titulares de dados pessoais podem continuar buscando reparação por danos morais em decorrência de vazamentos, mas, para a procedência do pedido, é indispensável a comprovação de que o fato trouxe, efetivamente, algum abalo, dor ou sofrimento que justifique a indenização. Ou seja, a simples ocorrência dos vazamentos em razão de alguma falha técnica, administrativa, comportamental ou de qualquer outra natureza não origina, de imediato, o direito ao recebimento de eventual indenização.

O crescente número de processos ajuizados com fundamento na LGPD e o avanço da interpretação dos efeitos do descumprimento da lei pelo judiciário reforçam que as cooperativas devem estruturar seus programas de conformidade e, mais do que isso, mantê-los diariamente por meio de processos e controles adequados aos seus respectivos ambientes (físicos e virtuais).

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de entendimentos definidos pelo Poder Judiciário e que possam impactar os programas de conformidade das cooperativas.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente uma página contendo perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD). O objetivo é promover compreensão e sanar possíveis dúvidas das organizações que precisam se adequar à LGPD como, por exemplo, as cooperativas, também chamadas pela lei de agentes de tratamento de dados pessoais.   

O RIPD é um dos documentos essenciais para a conformidade (Saiba quais são os documentos essenciais para estar em conformidade com a LGPD) e deve ser elaborado nas atividades de tratamento de dados pessoais que possam gerar alto risco às liberdades civis e aos direitos fundamentais dos titulares, conforme previsão expressa da LGPD. 

A regulamentação do RIPD ainda se encontra em andamento. Por isso, as perguntas e respostas divulgadas pela ANPD dão um direcionamento provisório sobre a matéria e indícios de pontos que devem estar previstos na futura norma da matéria. 

Os principais pontos do material orientativo são:  

1. Dever de elaboração 

A ANPD reforçou o que já está indicado na LGPD, ou seja, que compete ao controlador de dados pessoais (assim compreendido como a pessoa física ou jurídica que toma decisões sobre as finalidades principais do tratamento de dados pessoais) a elaboração do relatório. 

2. Hipóteses de elaboração 

Em regra, todas as operações de tratamento de dados pessoais que resultem em alto risco às liberdades civis e aos direitos fundamentais devem ser objeto de RIPD. A LGPD estabelece ainda alguns cenários em que o RIPD poderá ser exigido: 

• Nas operações de tratamento realizadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º); 
• Quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º); 
• Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e 

• Para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38). 

3. Quando elaborar 

Preferencialmente, o RIPD deve ser elaborado antes do início da atividade de tratamento de dados pessoais, para que seja possível avaliar, previamente, os possíveis riscos associados ao tratamento. Em não sendo possível, a ANPD recomenda que ele seja elaborado tão logo se identifique um tratamento que possa gerar alto risco. 

4. Quantidade de operações no RIPD 

É comum os controladores se questionarem sobre a possibilidade de realizar um único RIPD para mais de uma operação de tratamento de dados pessoais. A ANPD indica que a reunião de atividades é razoável quando as operações sejam similares em termos de natureza, finalidade e riscos. 

5. Atividade de alto risco 

A ANPD indica que a elaboração do RIPD é obrigatória nas atividades de tratamento de dados pessoais que possam gerar alto risco às liberdades civis e aos direitos fundamentais dos titulares. 

A definição de “alto risco”, no entanto, ainda é incerta e, enquanto aguarda regulamentação específica, a ANPD recomenda que os controladores adotem os parâmetros de alto risco definidos no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, aprovado pela Resolução nº 2/2022. 

A imagem abaixo, extraída do site da ANPD, apresenta os critérios que podem ser avaliados pelos agentes de tratamento: 

Figura 1 – Critérios indicados pela ANPD para definição de alto risco 

Caso a atividade de tratamento de dados pessoais realizada pela cooperativa reúna um dos critérios gerais e um dos critérios específicos acima indicados, ela será considerada de alto risco, sendo recomendável a elaboração do RIPD. 

Importante: A ANPD informa expressamente que os critérios não são exaustivos, sendo dever do controlador verificar a existência do alto risco em situações diversas, em conformidade com o princípio da responsabilização e prestação de contas.

Conheça os princípios definidos pela LGPD 

 6. Consulta ao Encarregado pelo tratamento de dados pessoais (DPO) 

A ANPD indica ser desejável que o Encarregado seja consultado na elaboração e na análise das conclusões obtidas a partir do RIPD. 

Conteúdo do RIPD 

É recomendável que o RIPD reúna os seguintes dados e informações: 

• Identificação dos agentes de tratamento e do encarregado; 
• Outras partes interessadas/envolvidas e informar se foram consultadas na elaboração do RIPD e pareceres emitidos; 
• Justificativa da necessidade de elaboração do relatório (por exemplo: alto risco, solicitação da ANPD, gestão de riscos e prevenção, outros); 
• Projeto/Processo que justifica a elaboração do RIPD; 
• Sistemas de informação relacionados ao projeto/processo que justifica a elaboração do RIPD; 
• Informações sobre o tratamento de dados: 

1. 1. Descrição do tratamento (desde a coleta até a eliminação);
   2. Dados pessoais e dados pessoais sensíveis (informar todos os tipos tratados, de forma completa);
   3. Categorias de titulares (por exemplo, clientes, funcionários do controlador, filhos de funcionários do controlador, funcionários de clientes, autores de ações judiciais, beneficiários de apólices, terceiros prestadores de serviços);
   4. Dados de crianças e adolescentes ou de outra categoria de vulneráveis, como idosos, se houver;
   5. Volume de dados pessoais tratados e número de titulares envolvidos no tratamento;
   6. Fonte de coleta;
   7. Finalidade do tratamento (Justifique a finalidade de tratamento para cada dado);
   8. Informar quais são os compartilhamentos internos e externos (inclusive transferência internacional, se houver);
   9. Política de armazenamento (descrever os prazos de retenção e métodos de descarte);
   10. Análise de hipótese legal. Justifique a escolha da hipótese legal para cada finalidade de tratamento.

• Análise de princípios da LGPD;
• Riscos identificados ao titular;
• Resultado apurado com base na metodologia utilizada pelo agente de tratamento;
• Medidas, salvaguardas e mecanismos de mitigação de risco;
• Comentários e aprovações.

 Abaixo, é possível visualizar um fluxograma disponibilizado pela ANPD, envolvendo o clico de monitoramento acerca da necessidade ou não de elaboração do RIPD: 

Através do material divulgado, a ANPD reforça seu papel orientativo em relação às boas práticas de proteção de dados pessoais. É imprescindível que as cooperativas avaliem atentamente as informações divulgadas e identifiquem se suas operações de tratamento de dados pessoais se enquadram nas definições apresentadas e, se necessário, providenciem a elaboração dos RIPDs com brevidade. 

Vale recordar que a não confecção deste documento nas hipóteses em que  é obrigatório, ou a sua disponibilização, quando solicitado pela ANPD, configura descumprimento da LGPD e pode resultar na instauração do processo administrativo sancionador e na aplicação de penalidades administrativas. 

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de orientação pela ANPD para que as cooperativas possam monitorar os impactos gerados na estruturação e manutenção dos programas de conformidade. 

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente a Resolução CD/ANPD 04/2023 que regulamenta a aplicação de sanções administrativas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD) e complementa o processo fiscalizatório regulamentado em 2021 (Entenda como funciona o processo de fiscalização). 

Dando continuidade ao seu papel de agente regulador, a ANPD divulgou recentemente a relação dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização (CGF), a qual contêm os seguintes itens:  

• Nome do órgão público ou organização privada fiscalizada; 
• Conduta realizada pelo agente de tratamento; 
• Setor de atuação; 
• Fase em que se encontra o processo; e 
• Número do processo aberto na ANPD.   

De acordo com a Autoridade, a divulgação dos dados e informações referentes aos processos administrativos em curso não se confundem com a sanção de publicização das infrações, também prevista na LGPD. Esta última somente será aplicada após a conclusão da investigação e desde que comprovado que a conduta do agente fiscalizado descumpriu a legislação vigente. 

A lista disponibilizada também traz informações importantes sobre as práticas que podem gerar a aplicação de penalidades por descumprimento da LGPD, destacando-se as seguintes: 

• Ausência de nomeação do Encarregado pelo tratamento de dados pessoais (DPO); 
• Ausência de atendimento à requisição da ANPD; 
• Ausência de comunicação de incidentes de segurança; 

• Ausência de comunicação aos titulares acerca de incidentes de segurança; 
• Não envio de Relatório de Impacto à Proteção de Dados Pessoais; 
• Ausência de registro de operações de tratamento de dados pessoais; 
• Ausência de comprovação de hipótese legal para tratamento de dados pessoais; e 
• Ausência de medidas de segurança. 

Além disso, é possível extrair do material divulgado outras conclusões importantes: 

• Mais da metade dos processos instaurados tem como objeto a apuração de inércia dos agentes de tratamento em atender requisições da ANPD. Importante: vale lembrar que a cooperação do agente e a boa-fé do fiscalizado pode atenuar em 5% (cinco por cento) eventual penalidade de multa simples, conforme artigo 13, inciso IV, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD; 
• Somente um agente fiscalizado pertence ao setor privado; 
• Metade dos casos envolvem agentes de tratamento de dados relacionados com a área da saúde.  
• Seis casos envolvem diretamente incidentes de segurança da informação; 

• Dois casos envolvem a ausência de nomeação de DPO. 

Os primeiros processos de aplicação de sanções divulgados ainda permitem concluir que não serão somente objeto de investigação administrativa os episódios em que houver “vazamentos de dados pessoais”. Situações envolvendo cooperação com a autoridade, nomeação do Encarregado pelo tratamento de dados pessoais, manutenção de registro de operações e comprovação de existência de hipóteses legais para o tratamento de dados pessoais também estarão no radar de fiscalização. 

Com o fim do processo regulatório envolvendo a aplicação de sanções administrativas e o início da divulgação oficial de informações relacionadas à atuação fiscalizatória da ANPD, é imprescindível que as cooperativas tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção dos gaps nos processos que envolvem o tratamento de dados pessoais e para evitar a instauração de processo administrativo para apuração de eventual irregularidade. 

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade. 

O Plenário do Senado Federal aprovou, no último dia 21, o PL 6.557/2019 que altera o artigo 39 do Estatuto da Igualdade Racial, para o fim de obrigar os setores público e privado a registrarem o segmento étnico e racial a que os seus trabalhadores pertencem. O objetivo da iniciativa é subsidiar a execução de políticas públicas pelo poder público. A proposta aguarda sanção do presidente da República.  

Com a medida, a indicação passa a ser obrigatória nos seguintes documentos:  

• Formulários de admissão e demissão no emprego; 
• Formulários de acidente de trabalho; 
• Instrumentos de registro do Sistema Nacional de Emprego (Sine), ou de estrutura que venha a suceder-lhe em suas finalidades; 
• Relação Anual de Informações Sociais (Rais), ou outro documento criado posteriormente com conteúdo e propósitos a ela assemelhados; 

• Documentos, inclusive os disponibilizados em meio eletrônico, destinados à inscrição de segurados e dependentes no Regime Geral de Previdência Social; 
• Questionários de pesquisas levadas a termo pela Fundação Instituto Brasileiro de Geografia e Estatística (IBGE), ou por órgão ou entidade posteriormente incumbida das atribuições imputadas a essa autarquia. 

A proposta também impacta diretamente os programas de conformidade à LGPD implementados ou que estão em processo de implementação pelas cooperativas. Isso porque, a partir da sanção do projeto, os agentes de tratamento de dados pessoais precisarão tratar adicionalmente o dado “raça” em algumas rotinas administrativas que envolvem a gestão de pessoas, como admissão de colaboradores, comunicação de acidentes de trabalho, inserção obrigatória de dados em sistemas públicos, etc. Desta forma, será necessário atualizar os registros de operações de tratamento de dados pessoais (ROT/RoPA), considerando a alteração de diversos processos. 

Para lembrar! Registro de Operações de Tratamento de Dados Pessoais (ROT/RopA): documento obrigatório e explicitamente indicado na LGPD, que pode ser definido como a compilação estruturada das operações de tratamento de dados pessoais realizadas dentro da estrutura organizacional das cooperativas.

Saiba mais sobre este e outros documentos essenciais para a conformidade das cooperativas. 

Importante destacar também que o dado “raça” passará a ser coletado pelas cooperativas em razão de obrigação legal estabelecida no Estatuto da Igualdade Racial e que, nesse caso, a hipótese legal de tratamento será a indicada no artigo 11, inciso II, alínea a, da LGPG. Conheça as 10 hipóteses que a LGPD autoriza o tratamento de dados pessoais. 

Além disso, observa-se a necessidade das cooperativas monitorarem constantemente as alterações legislativas promovidas pelo Poder Legislativo (Nacional, Estadual e Municipal) e que podem impactar, ainda que indiretamente, nos programas de governança e conformidade com a LGPD, já que muitas delas podem exigir movimentos internos de adequação de rotinas, processos e/ou documentos. 

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de movimentos legislativos em matéria de proteção de dados pessoais que podem trazer impactos nas rotinas das cooperativas.

“É imprescindível que as cooperativas tratem as ações de adequação à LGPD [Lei Geral de Proteção de Dados Pessoais] como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das falhas identificadas nos processos que envolvem o tratamento desses dados.”

Ana Paula Andrade Ramos, Assessora Jurídica da OCB 

A recomendação da Assessora Jurídica da Organização das Cooperativas Brasileiras (OCB), Ana Paula Andrade Ramos, refere-se à aplicação das penalidades administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), que passou a ser possível com a recente publicação da resolução que regulamenta o cálculo e aplicação de sanções administrativas para quem descumprir as regras previstas na LGPD.  

O Sistema OCB, por sua vez, disponibilizou texto sobre como funcionará a apuração dos fatos denunciados por meio de processo de fiscalização e do processo administrativo sancionador, pela ANPD. As regras de aplicação das penalidades por descumprimento da LGPD estão previstas no chamado regulamento de dosimetria das penalidades. As empresas do Brasil, e mesmo as que estão fora do Brasil, mas que se relacionam com cidadãos brasileiros, estarão sujeitas à atuação da ANPD e à LGPD, independentemente do seu porte. 

Cenário 

Segundo o escritório Mattos Filho, foi identificado um crescimento nas ações judiciais de 500%, uma vez que saltou de 20 para 120 ações judiciais que discutem a aplicação da Lei Geral de Proteção de Dados Pessoais entre 2020 e 2022. O presidente da ANPD, Waldemar Gonçalves, ressaltou que já há diversas ações fiscalizadoras em andamento e que, em janeiro, durante as comemorações do Dia Internacional da Proteção de Dados, oito processos administrativos aguardavam o regulamento de dosimetria para aplicação das sanções.  

Até o momento, a autoridade já recebeu mais de 6 mil denúncias, e o movimento crescente tem sido notado pelo Judiciário.

“Em 2021, no início da aplicação da lei, eram mais de 600 ações que discutiam questões relacionadas com as normas. Recentemente, foi identificado um crescimento de mais de 500% no volume de processos julgados pelos tribunais envolvendo temas relacionados com a LGPD.”

Ana Paula Andrade Ramos, Assessora Jurídica da OCB. 

A Assessora Jurídica ressalta, ainda, que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação das penalidades estabelecidas na legislação, como: 

• Ausência de elaboração e atualização do Registro de Operações de Tratamento de Dados Pessoais; 
• Ausência de elaboração e atualização de Relatórios de Impacto à Proteção de Dados Pessoais; 
• Ausência de nomeação de Data Protection Officer (DPO) - encarregado de proteção de dados- exceto para agentes de tratamento de pequeno porte; 
• Ausência de canal de atendimento de direitos dos titulares; e 

• Não treinar colaboradores e prestadores de serviços sobre o tema. 

Já não é mais novidade que as cooperativas que realizam tratamento de dados pessoais (ou seja, dados de pessoas físicas) devem se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD). Essa necessidade ganhou ainda mais força com a recente publicação de resolução da Autoridade Nacional de Proteção de Dados (ANPD), que regulamenta o cálculo e aplicação de sanções administrativas (Confira nossa matéria sobre a publicação do regulamento), norma complementar ao processo fiscalizatório finalizado em 2021.

O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador estabelece uma lógica de regulação responsiva, ou seja, prevê atividades de monitoramento, orientativas, preventivas e, se necessário, de repressão.

Cada fase do processo fiscalizatório possui ações específicas que devem ser observadas para a instauração ou não do Processo Administrativo Sancionador.

Veja de forma resumida como a ANPD atuará em cada uma dessas fases:

• Atividades de monitoramento: nesta fase é realizado o levantamento de informações e dados relevantes para auxiliar a sua tomada de decisão sobre instaurar ou não processo administrativo;
• Atividades orientativas: são promovidas ações e atividades de orientação, conscientização e educação dos agentes de tratamento, titulares e demais integrantes ou interessados no tratamento de dados pessoais. No escopo destas ações estão a elaboração e disponibilização de guias, modelos de documentos, orientações para utilização de padrões técnicos, bem como a sugestão de cursos e treinamentos, entre outros;
• Atividades preventivas: a ANPD e as organizações (agentes de tratamento de dados pessoais) que realizam o tratamento de dados pessoais elaboram conjuntamente soluções e medidas que possibilitem reconduzir à plena conformidade, evitar e remediar situações de risco ou danos aos titulares de dados pessoais ou outros agentes de tratamento;
• Atividades repressivas: a autoridade atua coercitivamente para interromper situações de dano ou risco aos titulares de dados pessoais com aplicação das sanções previstas na legislação. A sua atuação repressiva ocorrerá por meio do chamado Processo Administrativo Sancionador.

Após a ANPD identificar situação que pode representar uma violação à LGPD, poderá ser instaurado processo administrativo para apuração da infração, de acordo com as etapas abaixo:

Fase 01 – Procedimento preparatório

Nesta etapa são realizadas as averiguações preliminares, sendo que a ANPD determinará a realização de diligências e o procedimento poderá tramitar em sigilo. O interessado poderá apresentar proposta de Termo de Ajustamento de Conduta (TAC), o qual será avaliado pela Coordenação-Geral de Fiscalização. Ao final desta fase, poderá ocorrer o arquivamento (com a aprovação do TAC proposto) ou a instauração do Processo Administrativo Sancionador.

Fase 02 – Instauração e instrução

É a fase em que a ANPD buscará reunir novas provas a respeito da situação apurada, realizar diligências e analisar a possibilidade de participação de terceiros como as Organizações Estaduais ou o Sistema OCB Nacional, nos casos em que cooperativas sejam submetidas ao processo fiscalizatório em razão da suspeita de descumprimentos da LGPD.

A autoridade poderá, ainda, lavrar o Auto de Infração e o agente de tratamento fiscalizado poderá apresentar sua defesa, hipótese em que a fase é encerrada. O encerramento desta fase também ocorre caso seja esgotado o prazo para se manifestar e o agente de tratamento não tiver apresentado manifestação no prazo estipulado.

Fase 03 - Decisão

Esta etapa encerra o Processo Administrativo Sancionador. Na decisão proferida pela Coordenação-Geral de Fiscalização, serão indicados os fatos e fundamentos utilizados para a tomada de decisão e, sendo o caso, contará com a indicação da sanção administrativa aplicada com prazo para que o agente de tratamento cumpra as determinações previstas na decisão.

Fase 04 - Recurso

Após a publicação da decisão, o agente de tratamento será notificado de seu teor, sendo possibilitada a apresentação de recurso ao Conselho Diretor da ANPD. Todavia, o recurso é limitado a matérias específicas. Caso ocorra a apresentação de recurso, a Coordenação-Geral de Fiscalização poderá reconsiderar os termos da decisão de forma fundamentada, a qual não poderá resultar no agravamento da sanção originalmente aplicada.

É possível concluir a partir do processo de fiscalização que a ANPD adotará uma postura de orientação, educação, prevenção e conscientização em detrimento da aplicação de sanções administrativas. O processo administrativo garante a possibilidade de realização de acordo, por meio do TAC, ampla defesa e produção de provas, oportunizando que as cooperativas e outros agentes de tratamento possam corrigir as práticas consideradas irregulares.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 24/02 a norma que regulamenta a aplicação de sanções administrativas da Lei Geral de Proteção de Dados Pessoais (LGPD). A Resolução CD/ANPD n. 04/2023 traz a definição de infração leve, média e grave e mostra como calcular a multa por violação à legislação — que pode chegar a R$ 50 milhões. A possibilidade de aplicação das penalidades estava em vigor desde 31 de agosto de 2021, mas dependia de regulamentação do cálculo da dosimetria para ser efetivada.

Com a publicação da norma, todo e qualquer descumprimento da LGPD passa a estar sujeito as penalidades administrativas estabelecidas. Por isso, é importante conhecer quais sanções podem ser aplicadas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
• Multa diária, observado o limite total anterior;
• Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

As penalidades são aplicadas aos agentes de tratamento de dados pessoais que desrespeitarem as disposições da LGPD, por meio do Processo Administrativo Sancionador, que tem como objetivo interromper situações de dano ou risco aos titulares de dados pessoais com aplicação de sanções previstas na legislação. O processo pode ser instaurado de ofício pela autoridade ou mediante requerimento e observará as seguintes fases:

Uma vez confirmada a existência da irregularidade, a ANPD avaliará as circunstâncias da infração para definir as penalidades a serem aplicadas. Para isso, a autoridade inicialmente classificará a infração em leve, média ou grave, conforme detalhes abaixo:

Nas infrações apuradas pela ANPD que resultem na aplicação de multa simples, o valor será definido de acordo com as regras estabelecidas no Apêndice I do regulamento aprovado, o qual estabeleceu algumas etapas para a definição do valor da multa:

Durante as etapas indicadas acima, a ANPD avaliará os seguintes aspectos:

• A classificação da infração;
• O grau do dano;
• O faturamento do infrator ou valores absolutos definidos no regulamento para agentes pessoas físicas ou pessoas jurídicas sem faturamento;
• As circunstâncias agravantes;
• As circunstâncias atenuantes;
• Os limites mínimos e máximos de multas.

Além de dispor as fórmulas de cálculo da multa, a ANPD também estabeleceu os valores mínimos para os agentes de tratamento que descumprirem disposições da LGPD, independentemente da existência de faturamento:

Com o fim do processo regulatório, recomenda-se às cooperativas que tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais. 

Gostou do tema? Nos acompanhe, em breve publicaremos conteúdo abordando as etapas do processo de fiscalização conduzidas pela ANPD.