Nos últimos meses, temos testemunhado uma intensificação na fiscalização e regulamentação por parte da Autoridade Nacional de Proteção de Dados (ANPD), que já resultou na aplicação das primeiras penalidades administrativas e na publicação de novas normativas ou propostas de regulamentações abordando diversos aspectos da Lei Geral de Proteção de Dados Pessoais (LGPD).

Diante desse cenário, torna-se essencial que as cooperativas adotem medidas de segurança abrangentes, tanto técnicas quanto administrativas, para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas que possam resultar em destruição, perda, alteração, comunicação indevida ou qualquer outra forma de tratamento inadequado, conforme estabelecido no artigo 46 da LGPD.

Vale ressaltar que a ANPD recentemente aplicou uma penalidade a um órgão público do Distrito Federal ligado à área da educação, devido à falta de adoção das medidas técnicas necessárias que resultaram em um incidente de segurança da informação. Essa penalidade foi motivada pela exposição indevida de respostas capturadas pelo órgão público de crianças e adolescentes em um formulário do Google Forms. Segundo investigações da ANPD, essas respostas estavam acessíveis publicamente na internet devido a uma falha na configuração das permissões de acesso ao documento.

Confira AQUI a íntegra do relatório de instrução da ANPD em relação ao evento acima narrado.

É bastante comum que as cooperativas recorram a formulários digitais, como Google Forms, Microsoft Forms, SurveyMonkey, entre outros, em suas atividades diárias para coletar dados pessoais de colaboradores, cooperados e do público em geral. Diante disso, torna-se fundamental que os colaboradores responsáveis pela utilização desses serviços sejam devidamente treinados e orientados sobre as melhores práticas de proteção de dados pessoais e segurança da informação.

A seguir, destacamos alguns elementos que devem ser observados ao utilizar formulários digitais, a fim de mitigar riscos associados à sua utilização:

Dados necessários: As cooperativas devem avaliar cuidadosamente as informações coletadas, garantindo que sejam limitadas ao mínimo necessário para alcançar a finalidade pretendida.

Permissões de acesso: As configurações do questionário e das respostas inseridas devem ser restritivas para evitar acesso não autorizado às informações dos respondentes. Somente pessoas autorizadas devem ter acesso aos documentos para evitar vazamento de informações.

Extração dos dados: Os colaboradores responsáveis pelos formulários devem adotar rotinas para extrair os dados pessoais coletados para a rede interna da cooperativa, dificultando o acesso de terceiros a essas informações.

Serviços corporativos: Priorizar o uso de serviços corporativos para a utilização de formulários digitais é crucial, uma vez que os serviços pessoais podem comprometer a confidencialidade, integridade e disponibilidade das informações coletadas.

Aviso de privacidade: Forneça aos respondentes dos formulários informações claras sobre como seus dados serão coletados, armazenados, utilizados e protegidos. Isso ajuda a construir confiança e demonstra o compromisso da cooperativa com a privacidade e proteção dos dados.

Envolvimento do Encarregado pelo tratamento de dados (DPO): O uso de serviços de formulários digitais deve ser mapeado e registrado no registro de operações de tratamento de dados pessoais da cooperativa, conforme orientação do DPO, para garantir a observância das medidas adequadas ao contexto de uso desses serviços.

A implementação das medidas acima mencionadas contribuirá para que a cooperativa reduza os riscos associados à utilização de serviços de formulários digitais, promovendo a conformidade com a legislação em vigor.

Gostou do tema? Nos acompanhe e fique por dentro do cenário fiscalizatório da ANPD e dicas práticas que podem auxiliar o processo de conformidade das cooperativas e no desenvolvimento da cultura de proteção de dados pessoais.

A Lei Geral de Proteção de Dados Pessoais (LGPD) conferiu à Autoridade Nacional de Proteção de Dados (ANPD) um papel fundamental na orientação e regulamentação de diversos dispositivos legais. Nesse contexto, a ANPD encontra-se atualmente engajada na elaboração e disponibilização de uma série de instruções e diretrizes, visando auxiliar cooperativas e outras organizações a se adequarem de maneira eficaz à referida legislação.

O ano de 2023 foi marcado por significativos avanços no âmbito da proteção de dados pessoais. Testemunhamos a implementação de diversas regulamentações e esclarecimentos por parte da ANPD, indicando que 2024 será um período igualmente dinâmico e repleto de desenvolvimentos nessa área.

Para recapitular os eventos mais relevantes ocorridos em 2023 no cenário da proteção de dados pessoais no Brasil, elaboramos este resumo, destacando os principais acontecimentos e contribuições para o entendimento e cumprimento das normativas vigentes.

Janeiro:

01/01 – Vigência do novo formulário padrão de comunicação de incidentes de segurança (CIS).

01/01 – Publicado Decreto n.º 11.348/2023, que alterou a estrutura regimental da Autoridade Nacional de Proteção de Dados - ANPD, a qual passa a estar vinculada ao Ministério da Justiça.

30/01 – Criado o Comitê de Governança Digital para deliberar sobre assuntos relativos à implementação de ações de governo digital e uso de recursos de tecnologia da informação e comunicação no âmbito da ANPD.

Fevereiro:

27/02 – Publicado Regulamento de dosimetria e aplicação de sanções administrativas, que dispõe sobre a aplicação de sanções administrativas, tais como advertências, multas e até mesmo a proibição de realizar atividades de tratamento com dados pessoais, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pessoais a partir da infração à LGPD.

Março:

07/03 – Decisão do Superior Tribunal de Justiça (STJ) consolida entendimento de que o vazamento de dados pessoais em razão de uma falha indesejável em sistemas ou outros ambientes não tem a capacidade, por si só, de gerar dano moral.

17/05 – Acordo cooperação é firmado entre a Controladoria-Geral da União - CGU e a ANPD para harmonizar entendimentos sobre a Lei de Acesso à Informação – LAI e a Lei Geral de Proteção de Dados Pessoais – LGPD.

17/03 – ANPD publica nota técnica indicando que a LGPD não é aplicável ao tratamento de dados de pessoas falecidas. O documento foi disponibilizado após questionamento realizado pela Polícia Rodoviária Federal.

23/03 – ANPD divulga relação de processos sancionatórios. A lista indicava o nome dos agentes de tratamento (órgãos públicos, empresas e outras organizações), a conduta realizada, o setor de atuação do agente fiscalizado, a fase em que se encontrava o processo e o número do processo.

Abril:

06/04 - ANPD divulga página com perguntas e respostas sobre o Relatório de impacto à proteção de dados pessoais (RIPD). A iniciativa promoveu a compreensão e orientou os controladores de dados pessoais sobre o assunto.

20/04 – Publicada Lei Federal n.º 14.533/2023, que alterou o artigo 39 do Estatuto da Igualdade Racial, para o fim de obrigar o setor público e privado a proceder com o registro do segmento étnico e racial a que os seus trabalhadores pertencem, para subsidiar a execução de políticas públicas pelo Poder Público.

24/04 – ANPD disponibiliza canal para o envio e esclarecimentos sobre denúncias e petições de titulares de dados pessoais. O público tem acesso as principais e mais frequentes dúvidas sobre os dois tipos de requerimentos e ao novo formulário para envio de denúncias e petições.

Maio:

23/05 – Publicada Resolução conjunta n.º 06/2023, do Banco Central do Brasil e o Conselho Monetário Nacional, estabelecendo requisitos para o compartilhamento de dados e informações sobre indícios de fraudes pelos agentes de tratamento de dados pessoais autorizados a funcionar pelo Banco Central do Brasil.

24/05 – ANPD publica enunciado sobre o tratamento de dados pessoais de crianças e adolescentes.

31/05 – Divulgada nova lista de processos de fiscalização em andamento. A relação contemplava 8 agentes de tratamento de dados pessoais.

Junho:

14/06 – ANPD disponibiliza modelo de registro simplificado das operações de tratamento de dados pessoais para agentes de tratamento de pequeno porte (ATPP).

26/06 – ANPD publica guia orientativo sobre tento de dados pessoais para fins acadêmicos, com recomendações e boas práticas que devem ser aplicadas em tais atividades. 

Julho:

07/07 – Aplicação da primeira penalidade administrativa por descumprimento da LGPD. As penalidades de advertência e multa foram aplicadas para um microempreendedor individual situado na cidade de Vila Velha/ES, que atua no mercado de telecomunicações, VoIP, marketing e telemarketing.

28/07 – ANPD publica listas tríplices para composição do CNPD e as remete à Casa Civil.

Agosto:

14/08 – A LGPD completa 05 anos de sanção.

15/08 – Iniciada consulta pública sobre o Regulamento de transferências internacionais de dados pessoais e o modelo de cláusulas-padrão contratuais, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD.

16/08 – ANPD inicia consulta pública sobre estudo preliminar referente à hipótese legal de tratamento de dados pessoais do legítimo interesse, prevista no art. 7º, inciso IX, da LGPD. 

Setembro:

12/09 – ANPD realiza audiência pública sobre o Regulamento de transferências internacionais de dados pessoais.

Outubro:

06/10 – ANPD conclui processo administrativo sancionador contra o Instituto de Assistência Médico-Socioeconômica do Servidor Público Estadual de São Paulo (IAMSPE), que resultou na aplicação de penalidades administrativas: 02 advertências.

18/10 – ANPD aplica de penalidade administrativa em face da Secretaria de Saúde do Estado de Santa Catarina (SES-SC): 04 advertências e 02 medidas corretivas.

30/10 – Publicado Decreto n. 11.758/2023 que modificou a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da ANPD.

Novembro:

01/11 – Vigência das regras sobre compartilhamento de dados e informações sobre indícios de fraudes previstas na Resolução conjunta n.º 06/2023, do Banco Central do Brasil e o Conselho Monetário Nacional.

07/11 – ANPD completa 03 anos de existência.

07/11 – ANPD inicia consulta pública sobre a minuta de Resolução referente a atuação do Encarregado pelo tratamento de dados pessoais, prevendo definições sobre a indicação, a definição, as atribuições e a atuação do Encarregado.

Dezembro:

05/12 – Realizada de audiência pública sobre o Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais.

13/12 – Publicado Mapa de Temas Prioritários da ANPD para 2024 e 2025. O documento aborda os temas que serão prioridade para estudos e planejamento das atividades de fiscalização pelos próximos dois anos.

Diante desse panorama dinâmico e evolutivo, é imperativo que as cooperativas permaneçam atentas e engajadas na contínua adaptação aos requisitos da LGPD. A ANPD, ao desempenhar seu papel orientador e regulamentador, proporciona um guia valioso para a conformidade, fortalecendo a cultura de proteção de dados no Brasil. À medida que adentramos o ano de 2024, é evidente que a proteção de dados pessoais permanecerá no centro das discussões e ações, exigindo o comprometimento constante de todos os ramos do cooperativismo.

O resumo apresentado acima serve como um registro dos avanços alcançados em 2023 e, ao mesmo tempo, como um chamado à vigilância e à prontidão para os desafios e oportunidades que continuarão a surgir nesse importante campo.

Nesse contexto, o Sistema OCB permanecerá atento aos movimentos regulatórios, proporcionando suporte e informação essenciais às cooperativas para a conformidade com a LGPD.

A gestão adequada de dados pessoais nas cooperativas é fundamental para evitar a aplicação de penalidades administrativas e garantir a correta aplicação da Lei Geral de Proteção de Dados (LGPD). A atuação de fiscalização e regulação da Autoridade Nacional de Proteção de Dados (ANPD) mostra que quando as regras deixam de ser seguidas efetivamente, as sanções são aplicadas de forma imediata. 

O Registro de Operações de Tratamento de Dados Pessoais (também conhecimento como RoPA – do inglês Record of Processing Activities) é um dos passos significativos do processo. Ele garante transparência, segurança e conformidade com a Lei (Confira mais sobre os documentos essenciais para a conformidade).

Estruturado para compilar as atividades de tratamento de dados pessoais realizadas, o registro é um documento essencial para facilitar a proteção dos dados pessoais e permitir o conhecimento sobre os tratamentos realizados. Ou seja, ele mostra como as operações são realizadas, passo a passo, desde a coleta do dado até a sua eliminação.

É importante ressaltar, no entanto, que a mera confecção do documento não é suficiente para atingir a conformidade. Como as rotinas nas organizações estão em constante transformação, revisão para manutenção do registro é uma obrigação necessária para garantir a efetividade da proteção dos direitos individuais e da segurança das informações, além de contribuir diretamente com o fortalecimento da confiança entre as cooperativas e os titulares.

A transparência alcançada com o documento é outro benefício chave, pois ele possibilita que as organizações forneçam informações claras aos titulares de dados pessoais sobre como suas informações são tratadas. Isso fortalece a confiança dos titulares com as cooperativas e pode ser um diferencial competitivo, destacando a responsabilidade da cooperativa em relação à privacidade e proteção de dados pessoais.

Além disso, o registro é uma ferramenta valiosa para a gestão de riscos, uma vez que apresenta uma visão clara de como os dados pessoais são utilizados nos processos, possibilitando que as cooperativas identifiquem potenciais vulnerabilidades e adotem medidas proativas para mitigação dos riscos.

Fique atento:

Além de uma obrigação legal prevista no art. 37 da LGPD, o registro pode ser solicitado a qualquer momento pela Autoridade Nacional (ANPD) durante eventual fiscalização ou auditoria.

 

Importante: A primeira penalidade aplicada pela ANPD decorreu da ausência de registro de operações de tratamento de dados pessoais (Confira mais informações sobre as penalidades aplicadas)

Informações indicadas

A LGPD não define, expressamente, quais informações devem estar contempladas no registro. A ANPD, por sua vez, divulgou um modelo simplificado para a operação, aplicável aos agentes de tratamento de pequeno porte e que apresenta diretrizes que auxiliam a construção do documento.

Além dessas diretrizes, cada cooperativa deve considerar a relevância que determinado campo representa para o seu programa de conformidade. Esta análise pode ser realizada a partir de reflexões, como:

• O campo auxilia no atendimento aos direitos dos titulares?
• O campo possibilita a identificação de possíveis vulnerabilidades?
• O campo permite o conhecimento sobre a atuação dos terceiros?

Gostou do tema? Nos acompanhe e fique por dentro dos avanços regulatórios envolvendo este importante documento para a conformidade das cooperativas e que contribui diretamente com o desenvolvimento da cultura de proteção de dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou no dia 7 de novembro consulta pública para definição final do Regulamento sobre Encarregado pelo tratamento de dados pessoais (DPO). As contribuição serão utilizadas para elaboração das normas que evolvem o papel do encarregado. A consulta está disponível na plataforma Participa Mais Brasil e o s interessados têm até o dia 07 de dezembro para enviar suas sugestões. Além da consulta, está prevista uma audiência pública com a mesma finalidade, ainda a ser divulgada pela ANPD.

A função do Encarregado pelo tratamento de dados pessoais está prevista no artigo 41 da Lei Geral de Proteção de Dados Pessoais. Ele é o responsável por mediar o diálogo entre a organização, os titulares dos dados pessoais e a Autoridade Nacional. Suas atividades incluem a recepção de reclamações dos titulares e de comunicações da ANPD, bem como o fomento a boas práticas de proteção de dados pessoais dentro das organizações.

O regulamento proposto inicialmente traz as seguintes previsões:

• Indicação formal: o encarregado deverá ser indicado formalmente por meio de portaria, políticas previamente estabelecidas, entre outros, pelos controladores de dados pessoais;
• Publicidade da nomeação: o nome completo ou nome empresarial do encarregado e as suas informações de contato devem ser disponibilizadas no site da organização, ou por meio de qualquer meio de comunicação disponível;
• Características da atuação: o encarregado poderá ser um integrante do quadro funcional da organização ou indivíduo externo (prestador de serviços), além de ser dotado de autonomia técnica e acesso facilitado à alta administração;
• Encarregado substituto: a organização deverá indicar formalmente o substituto do encarregado, o qual atuará nas ausências, impedimentos e vacâncias do titular;
• Língua portuguesa: o encarregado deverá se comunicar com os titulares de dados pessoais de forma clara, precisa e em língua portuguesa;
• Acúmulo de funções e conflito de interesses: o encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que possível o pleno atendimento de suas atribuições e não exista conflito de interesses. Presume-se conflito de interesses como o acúmulo da função de encarregado com aquela em que haja competência para decisões referentes ao tratamento de dados pessoais, em nome do agente de tratamento;
• Responsabilidade pela conformidade: a ANPD indica expressamente que a responsabilidade pela conformidade é do agente de tratamento e não do encarregado;
• Atribuições complementares: além das previstas na LGPD ou definidas pelo controlador, compete ao encarregado orientar o controlador nas seguintes atividades:
  • Elaboração do comunicado de incidente de segurança da informação;
  • Elaboração do Relatório de Impacto a Proteção de Dados Pessoais (RIPD);
  • Identificação e análise de riscos relativos ao tratamento de dados pessoais;
  • Definição de medidas de segurança, técnicas e administrativas (Saiba mais sobre o tema);
  • Implementação da LGPD, regulamentos da ANPD e adoção de melhores práticas (Saiba quais são os documentos essenciais para a conformidade);
  • Análise de cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais;
  • Transferências internacionais de dados (Saiba mais sobre o tema);
  • Formulação e implementação de regras de boas práticas e de governança e de programa de governança em privacidade.

Embora as disposições previstas no regulamento não sejam definitivas, elas devem ser avaliadas com cautela pois representam tendências no entendimento estabelecido pela ANPD sobre o papel dos encarregados pelo tratamento de dados pessoais.

Além disso, é recomendável que as cooperativas avaliem os impactos que o regulamento representa em seus respectivos programas de conformidade com a LGPD, especialmente no que respeito aos seguintes pontos:

• Nomeação formal do titular e substituto;
• Divulgação das informações dos nomeados no meio de comunicação cabível (ex.: site);
• Identificação de eventual conflito de interesse do profissional nomeado, a partir das definições apresentadas pela ANPD na minuta do Regulamento.

Gostou do tema? Nos acompanhe e fique por dentro dos avanços regulatórios envolvendo este importante personagem para o desenvolvimento da cultura de proteção de dados pessoais nas organizações.

A comunicação de ocorrências de incidentes que podem causar riscos ou dados relevantes aos titulares à Agência Nacional de Proteção de Dados (ANPD) é determinada pela Lei Geral de Proteção de Dados (LGPD), em seu artigo 48. O tema ganhou ainda mais relevância com a penalização recente de dois agentes de tratamentos de dados pessoais por violação do dever de comunicação (Confira  matéria sobre o tema) e exige que as cooperativas fiquem constantemente atentas aos aspectos gerais que envolvem essa comunicação.

 O cumprimento dessa obrigação ocorre por meio do processo de Comunicação de Incidente de Segurança (CIS). Em seu site institucional, a ANPD oferece informações gerais relacionadas ao procedimento ou de eventos com a possibilidade de causar ou que causem risco ou dano relevantes para os titulares de dados pessoais. Confira abaixo, algumas dicas:

1. O que caracteriza um incidente de segurança de dados pessoais?

Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais pode caracterizar um incidente. Eles podem decorrer de ações voluntárias ou   acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.

2. Todos os incidentes identificados devem ser reportados à ANPD?

Não. Somente os incidentes que reúnem, cumulativamente, os seguintes critérios:

• Tenha a ocorrência confirmada pelo agente;
• Envolva dados pessoais sujeitos à LGPD;
• Acarrete risco ou dano relevante aos titulares dos dados.

Segundo a ANPD, “são considerados incidentes capazes de causar risco ou dano relevante aqueles que possam causar aos titulares danos materiais ou morais, expô-los a situações de discriminação ou de roubo de identidade, especialmente se envolverem dados em larga escala, sensíveis e de grupos vulneráveis como crianças e adolescentes ou idosos.”

3. Qual o prazo para a comunicação?

Ainda não foi expressamente definido, mas a recomendação é para que os controladores façam o registro até dois dias úteis da ciência do fato. Há expectativas para que o prazo oficial seja definido pela autoridade por meio de regulamento próprio sobre o tema.

4. Quais os formatos da comunicação?

Ela pode ser feita de forma completa, ou seja, quando já foram identificadas as causas e reunidas todas as informações pertinentes ao evento, ou preliminar, com as informações obtidas até o momento da comunicação, que precisam ser complementadas em até 30 dias. Para ambas, deve ser utilizado o formulário padrão disponibilizado pela ANPD (Confira ANPD disponibiliza nova versão do formulário para comunicação de incidentes).

5. Quais informações devem ser comunicadas aos titulares atingidos pelo incidente?

O comunicado aos titulares deve fazer uso de linguagem clara e conter, ao menos, as seguintes informações:

• Resumo e data da ocorrência do incidente;
• Descrição dos dados pessoais afetados;
• Riscos e consequências aos titulares de dados;
• Medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
• Dados de contato do encarregado pelo tratamento de dados pessoais da cooperativa para que os titulares possam solicitar informações adicionais a respeito do incidente.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de temas relevantes que contribuem com o desenvolvimento da cultura de proteção de dados pessoais no cooperativismo.

A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a segunda penalidade administrativa por descumprimento da Lei Geral de Proteção de Dados (LGPD). A sanção foi destinada ao Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe), ligado à Secretária de Gestão e Governo Digital do Estado de São Paulo, pela ausência de comunicação sobre ocorrência de incidente de segurança (Artigo 48 da LGPD) e pela existência de sistemas que não atendiam aos requisitos de segurança, aos padrões de boas práticas e de governança, e aos princípios gerais previstos na legislação e demais normas regulamentares (Artigo 49 da LGPD).

Além de advertência, a ANPD impôs duas medidas corretivas ao Instituto. A primeira determina ajustes no no comunicado sobre a ocorrência do incidente de segurança, publicado no site institucional da entidade. A segunda estabelece a necessidade de informar a efetividade do programa de conformidade em proteção de dados pessoais e objetivos desenvolvidos e implementados, de acordo com documentos apresentados na defesa administrativa.

Cristhian Groff, encarregado do tratamento de dados pessoais do Sistema OCB, considera que, a partir da penalidade aplicada, é possível apontar algumas conclusões importantes sobre os procedimentos adotados pela ANPD. “A decisão mostra, por exemplo, a importância da  adoção de procedimentos internos que permitam rápida identificação, apuração, tratamento e comunicação de incidentes de segurança da informação. E também que as pessoas jurídicas de direito público não estão isentas de cumprir as regras estabelecidas na LGPD, nem estão fora do radar de fiscalização da ANPD”, afirmou.

Ainda segundo Groff, as comunicações de incidentes devem ser adequadas para contemplar, no mínimo, as informações solicitadas pela ANPD no Formulário de Comunicação de Incidentes de Segurança com Dados Pessoais (Confira matéria sobre o tema ANPD disponibiliza nova versão do formulário para comunicação de incidentes). “Além disso, os titulares de dados pessoais devem ser adequadamente informados acerca dos incidentes de segurança que possam acarretar risco ou dano relevante”, complementa. O encarregado lembrou também que as sanções foram aplicadas de acordo com o regulamento que estabelece a dosimetria das penalidades.

Para lembrar: A adequação das organizações privadas (empresas e cooperativas, por exemplo) e públicas que realizam tratamento de dados pessoais (ou seja, que utilizam dados de pessoas físicas – colaboradores, clientes, associados, prospects, dentre outros) à Lei Geral de Proteção de Dados Pessoais (LGPD) é indispensável. Para as cooperativas que ainda não se adequaram ou que adotaram medidas paliativas e ineficientes, os estímulos para que iniciem seus projetos de adequação aumentam a cada dia!

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização e/ou punição pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade. 

O encarregado pelo tratamento de dados pessoais do Sistema OCB, Cristhian Groff, participou, no dia 12 de setembro, da audiência pública promovida pela ANPD para debater a proposta de resolução que trata sobre o regulamento de transferências internacionais de dados pessoais e do modelo de cláusulas-padrão contratuais.

Groff apresentou sugestões de alteração no texto normativo a partir do ponto de vista do movimento cooperativista brasileiro.

“Apresentamos alguns dos pontos que entendemos de grande importância para que o regulamento atenda as expectativas das nossas cooperativas. Outras sugestões ainda estão sendo reunidas e serão enviadas para a ANPD por meio da consulta pública que em andamento”

Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.

Segundo o encarregado, entre os principais pontos abordados durante a audiência pública, destacaram-se a alteração do prazo para implementação das cláusulas-padrão contratuais; a inclusão de disposições nos regramentos do mecanismo “Decisão de Adequação”; e a inclusão de disposições nos regramentos do mecanismo “Normas Corporativas Globais”.

O Sistema OCB vem acompanhando o processo de regulamentação da transferência internacional de dados pessoais, uma vez que há inúmeras atividades e rotinas realizadas por cooperativas que envolvem o compartilhamento de dados pessoais com organizações localizadas em outros países (servidores de armazenamento, plataformas digitais, relacionamento institucional etc.)

A ANPD também divulgou o início da consulta pública sobre a minuta de Resolução referente ao tems, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD. A consulta pública está disponível na Plataforma Participa Mais Brasil até o dia 14 de outubro de 2023.

Confira aqui as primeiras impressões sobre a minuta divulgada pela ANPD

A íntegra da consulta pública está disponível no canal Youtube da ANPD

Grouff lembrou também que é indispensável que as cooperativas envolvam seus encarregados pelo tratamento de dados pessoais na avaliação da minuta disponibilizada e no monitoramento das próximas etapas do processo regulatório.

Além disso, ele recomendou o início do levantamento interno das transferências internacionais realizadas nas atividades do cotidiano. “Essa medida trará mais celeridade ao processo de adequação das transferências, após a disponibilização da versão final do regulamento”, completou.

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD sobre proteção de dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) abriua consulta pública sobre o estudo preliminar realizado pela entidade para tratar a hipótese de tratamento de dados pessoais de legítimo interesse. A consulta está disponível na plataforma Participa Mais Brasil até o dia 30 de setembro.

Os interessados podem apresentar contribuições sobre o texto elaborado no estudo, inclusive compartilhando exemplos concretos de situações em que a hipótese de tratamento foi utilizada e informações sobre as medidas de transparência adotadas

O estudo apresenta sete aspectos que devem ser avaliados pelos agentes de tratamento para a utilização da hipótese legal de legítimo interesse:

• Natureza dos dados pessoais: utilizar somente nas atividades de tratamento que envolvem dados pessoais. Em atividades que envolvem dados pessoais sensíveis, o agente de tratamento deve verificar outra hipótese que ampare o tratamento, dentre as previstas no artigo 11 da LGPD;
• Dados pessoais de crianças e adolescentes: considerar, de forma prioritária, o melhor interesse da criança ou do adolescente, prevalecendo a interpretação que atenda ao melhor interesse destes titulares. É recomendável a existência de relação prévia e direta do controlador com os titulares e que o tratamento vise assegurar a proteção dos direitos e interesses deles ou viabilizar a prestação de serviços que o beneficiem;
• Interesse legítimo: verificar se o seu interesse é legítimo, mediante a análise de três condições: a) compatibilidade com o ordenamento jurídico; b) relacionado com situações reais e presentes; e c) vinculação a finalidades legítimas, específicas e explícitas;
• Interesse do controlador ou de terceiro: identificar se o interesse será do próprio controlador ou de um terceiro. Em ambos os cenários, os requisitos da hipótese de tratamento são igualmente aplicáveis;
• Direitos e liberdades fundamentais: os riscos aos direitos e liberdades fundamentais dos titulares devem ser identificados e mitigados. O titular deve ser envolvido na operação de tratamento de dados pessoais e ter assegurada a possibilidade de se opor ao tratamento, por meio de mecanismos de fácil utilização pelos titulares;
• Legítima expectativa do titular: demonstrar que a finalidade pretendida é, razoavelmente, esperada pelos titulares que terão seus dados pessoais tratados, mediante a análise de diversos fatores, tais como: a) existência de relação prévia do controlador com o titular; b) a fonte e a forma da coleta dos dados, isto é, se a coleta foi realizada diretamente pelo controlador, compartilhados por terceiros ou coletados de fontes públicas; c) o contexto e o período de coleta dos dados; e d) finalidade original e a sua compatibilidade com o tratamento baseado no legítimo interesse;
• Necessidade, transparência e registro das operações: tratar somente os dados indispensáveis e mediante adoção de mecanismos que assegurem transparência e informações para os titulares de dados pessoais. A atividade deve ser mantida no registro de operações de tratamento de dados pessoais.

A avaliação dos aspectos se dará por meio da aplicação do teste de balanceamento (também conhecido como Avaliação de Legítimo Interesse). O documento é considerado indispensável para  que as cooperativas estejam em conformidade com a LGPD (Saiba quais são os documentos essenciais).

Por isso, é fundamental que as cooperativas revisem testes de balanceamento já adotados para identificar se cumprem os requisitos do modelo proposto no Anexo 2 do Estudo Preliminar.

Importante:

O Estudo Preliminar sugere que o teste de balanceamento seja igualmente aplicado nas operações de tratamento realizadas com base na hipótese de tratamento “Garantia da prevenção à fraude e à segurança do titular” prevista no artigo 11, inciso II, alínea “g”, da LGPD, uma vez que a parte final deste dispositivo e daquele que estabelece o “Legítimo Interesse” possuem a mesma ressalva de aplicabilidade, ou seja “exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.”

A hipótese de tratamento do legítimo interesse está prevista no artigo 7º, inciso IX, da Lei Geral de Proteção de Dados Pessoais (LGPD) e pode ser utilizada pelos agentes de tratamento de dados pessoais (ou seja, cooperativas) quando a operação de tratamento de dados envolver exclusivamente dados pessoais.

Isso quer dizer que dados pessoais sensíveis (O que são dados pessoais?) não podem ser tratados pelas cooperativas com fundamento, uma vez que a hipótese de tratamento não foi replicada no artigo 11 da Lei que estabelece o rol de hipóteses aplicáveis a essa categoria de dados pessoais.

O uso do legítimo interesse pelas cooperativas é imprescindível para o desenvolvimento de diversas operações de tratamento de dados pessoais que fomentam direta ou indiretamente o cooperativismo no país. No entanto, a sua utilização exige cautela. É aconselhável o envolvimento do DPO para que o documento divulgado seja avaliado e utilizado como referência para os ajustes cabíveis nas atividades internas, ainda que seja preliminar e possa sofrer alterações pela ANPD, após a conclusão da consulta pública.

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD envolvendo as hipóteses de tratamento de dados pessoais previstas na LGPD.

O Sistema OCB tem acompanhado de perto a regulamentação da transferência internacional de dados pessoais em razão da atuação significativa de cooperativas no cenário internacional, além das diversas rotinas e atividades que envolvem, em maior ou menor grau, a realização de transferência de dados pessoais para outros países (Ex.: servidores de armazenamento, plataformas digitais, etc.).

O Grupo Temático do Conselho Nacional de Proteção de Dados (CNPD), responsável por propor diretrizes estratégicas relacionadas à transferência internacional de dados pessoais convidou o Sistema OCB para falar sobre o tema aplicado a realidade do cooperativismo. A participação se deu por meio de entrevista com o encarregado pelo tratamento de dados pessoais da organização, Cristhian Homero Groff, e pelo envio de documento contendo respostas para um rol de questionamentos apresentados pelo grupo.

A Agência Nacional de Proteção de Dados (ANPD) também divulgou o início da consulta pública sobre a minuta de Resolução que se refere ao Regulamento de Transferências Internacionais de Dados Pessoais e ao modelo de Cláusulas-Padrão Contratuais, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD. A consulta está disponível na plataforma Participa Mais Brasil até o dia 14 de setembro de 2023.

A minuta divulgada busca regular a transferência de dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro, bem como os modelos de Cláusulas-Padrão Contratuais (CPC), o fluxo de aprovação das Cláusulas Específicas (CE) e Normas Corporativas Globais (NCG), além do mecanismo da Decisão de Adequação.

As hipóteses legais e modalidades de transferência internacional são, resumidamente:

Decisão de adequação

O que é: instrumento pelo qual a ANPD reconhece, por decisão do Conselho Diretor, de ofício ou após solicitação das pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527/2011, que determinado país estrangeiro ou de organismo internacional apresenta equivalência do nível de proteção de dados pessoais com a LGPD.

Requisitos: o mecanismo é realizado por meio de um processo de avaliação do nível de proteção de dados pessoais que levará em consideração (i) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos na LGPD; (iv) a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; (v) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e (vi) outras circunstâncias específicas relativas à transferência.

Cláusulas-padrão contratuais (CPC)

O que é: instrumento que estabelece garantias mínimas e condições válidas para a realização de transferência internacional de dados baseadas no inciso II, alínea b, do art. 33 da LGPD.

Requisitos: devem ser utilizadas como parte de contrato específico para reger a transferência internacional de dados ou incorporadas a um contrato de objeto mais amplo. As disposições previstas no instrumento contratual ou em contratos coligados firmados entre as Partes não podem excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais.

Ponto de atenção: O agente de tratamento designado nas cláusulas-padrão contratuais deverá (i) disponibilizar ao titular, em caso de solicitação, o instrumento contratual utilizado para a realização da transferência internacional de dados, observados os segredos comercial e industrial; e (ii) publicar em sua página na Internet documento contendo informações redigidas em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados.

Equivalência de cláusulas de outros países: a minuta prevê a possibilidade do agente de tratamento solicitar à ANPD o reconhecimento de equivalência de cláusulas-padrão contratuais de outros países ao padrão adotado e indicado no Anexo 2 da Resolução. Uma vez reconhecida a equivalência, o documento poderá ser utilizado por outros agentes de tratamento, constituindo modalidade válida para a realização de transferências internacionais de dados, na forma do art. 33, II, b, da LGPD, observadas as condicionantes estabelecidas na decisão do Conselho Diretor.

Cláusulas contratuais específicas

O que é: instrumento que estabelece garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e no Regulamento para ser utilizado pelo controlador em razão da singularidade de determinadas transferências, desde que as cláusulas-padrão contratuais estabelecidas no Anexo 2 da Resolução não possam ser utilizadas em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas.

Requisitos: o controlador deverá apresentar o instrumento contratual que regerá a transferência internacional de dados, contendo as cláusulas específicas, para a aprovação pela ANPD.

Normas Corporativas Globais

O que é: instrumento que estabelece normas vinculantes para possibilitar a realização de transferência internacional de dados entre organizações do mesmo grupo econômico.

Requisitos: as normas corporativas globais devem ser submetidas à aprovação da ANPD e conter, no mínimo: (i) especificação das categorias de transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados; (ii) identificação dos países para os quais os dados são transferidos; (iii) estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais; (iv) determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo econômico, inclusive para seus funcionários; (v) delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável; (vi) indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD; (vii) regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e (viii) previsão de comunicação à ANPD em caso de alterações nas garantias apresentadas, especialmente na hipótese em que um dos membros do grupo estiver submetido a determinação legal de outro país que impeça o cumprimento das normas corporativas.

Prática

As informações preliminares sobre a regulação das transferências internacionais disponibilizadas pela ANPD demonstram a importância e a complexidade que o tema possui. Por isso, recomenda-se que as cooperativas envolvam seus Encarregados pelo tratamento de dados pessoais na avaliação da minuta disponibilizada e iniciem o levantamento das transferências internacionais realizadas para que, a partir disso e após a publicação da resolução, sejam iniciados os procedimentos de adequação com o uso do(s) instrumento(s) jurídico(s) pertinente(s).

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD sobre proteção de dados pessoais. 

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou a lista dos candidatos para a segunda formação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). P prazo para candidaturas encerrou no último dia 18 e, no total, foram recebidas 71 indicações para 13 vagas de membros titulares e 13 suplentes. Destes, 37 estão nas listas tríplices elaboradas pela ANPD e remetidas para a Presidência da República.

O Sistema OCB, desde a sanção da LGPD, tem planejado e implementado uma série de ações relacionadas à conformidade em proteção de dados pessoais, tanto no seu ambiente interno, como para o movimento cooperativista como um todo. E, para dar continuidade à sua atuação, indicou o assessor jurícido do Sescoop, Fernando Bueno Fernandes, para uma das três vagas destinadas às confederações sindicais. O nome  integra as listas tríplices disponibilizadas pela ANPD.

O CNPD é um órgão consultivo , composto por membros da sociedade civil e representantes do poder público. A sua existência está prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) e suas principais atribuições, descritas no artigo 58-B, compreendem a proposição de diretrizes estratégicas e de subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais; a elaboração de relatórios anuais de avaliação da execução das ações da política nacional; a sugestão de ações a serem realizadas pela ANPD; a elaboração de estudos e realização de audiências pública; e a disseminação do conhecimento sobre a proteção de dados pessoais à população.

O órgão é composto por 23 (vinte e três) representantes da sociedade civil, titulares e suplentes, que se reúnem em caráter ordinário três vezes ao ano e em caráter extraordinário sempre que convocado por seu presidente.

Quadro 1: Composição do CNPD

Próximos passos:

As listas tríplices foram encaminhadas ao Ministro Chefe da Casa Civil e, em breve, a partir dos candidatos que constam nas listas, o Presidente da República deve realizar as nomeações, conforme disposto no Decreto nº 10.474/2020.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou o  guia orientativo Tratamento de Dados Pessoais para fins Acadêmicos que contempla diretrizes gerais para o cumprimento da Lei Geral de Proteção de Dados (LGPD) em atividades realizadas para fins exclusivamente acadêmicos e em estudos realizados por órgãos de pesquisa.

O objetivo é esclarecer dúvidas sobre as hipóteses legais que autorizam o tratamento de dados pessoais e a disponibilização de acesso ou compartilhamento dessas informações para a realização de estudos. Segundo o coordenador-geral de Normatização da ANPD, Rodrigo Santana, a publicação do guia é “fundamental para trazer maior segurança jurídica e regulatória para quem atua na área acadêmica ou realiza estudos e projetos que envolvam o tratamento de dados pessoais”.

O guia está estruturado em cinco núcleos. O primeiro, Regime jurídico, apresentaos  contornos gerais do regime jurídico especial estabelecido pela LGPD para o tratamento de dados pessoais para fins acadêmicos e para realização de estudos e pesquisas; o núcleo Fins acadêmicos traz uma análise da aplicação parcial da LGPD ao tratamento de dados pessoais realizado para fins exclusivamente acadêmicos, enquanto Estudos e pesquisas detalha as hipóteses legais aplicáveis ao tratamento de dados pessoais para fins de realização de estudos e pesquisas.

O quarto núcleo, Disponibilização de acesso a dados, apresenta recomendações para a disponibilização de acesso ou compartilhamento de dados pessoais para fins de realização de estudos e pesquisas e o último núcleo, Padrões éticos,  traz considerações sobre as relações entre a LGPD e os padrões éticos aplicáveis às pesquisas com seres humanos.

Entre as informações disponibilizadas no guia é possível destacar pontos relevantes como:

• De acordo coma ANPD, a inaplicabilidade da LGPD prevista no artigo 4ª, inciso II, alínea “b” não atinge as atividades realizadas pelas instituições de ensino com objetivos comerciais, financeiros e de marketing. Ou seja, esta restrita às atividades puramente acadêmicas e não em outras dinâmicas de comercialização, comunicação ou organização de tais atividades.
• A inaplicabilidade ou flexibilização do cumprimento da LGPD quando atividades acadêmicas são realizadas, não dispensa os agentes de tratamento de observarem outros dispositivos que estejam conectados ao tema. Exemplo: se o tratamento realizado para fins acadêmicos estiver amparado no consentimento do titular, este deverá observar os requisitos do consentimento (manifestação livre, informada e inequívoca), critérios para dispensa de exigência de consentimento (art. 7º, §§ 4º e 6º), necessidade de comunicação ou compartilhamento de dados com outros controladores (art. 7º, § 5º) a forma como deve ser dado o consentimento (art. 8º) e observar os direitos assegurados aos titulares (art. 9º, §§ 1º e 2º e art. 18);
• A possibilidade de utilização secundária dos dados pessoais que haviam sido tratados para fins exclusivamente acadêmicos, desde que haja base legal adequada que justifique o novo tratamento. Exemplo: se os dados forem necessários para atender a um legítimo interesse do controlador, desde que não se sobreponha aos direitos e liberdades fundamentais do titular, limite-se aos dados estritamente necessários para a nova finalidade (art. 10, §1º), garanta a transparência do tratamento (art. 10, §2º) e mantenha a atividade no registro das operações de tratamento de dados pessoais (art. 37).

A preocupação da ANPD fica clara quanto a observância do princípio da “transparência”. Por esta razão, é indispensável que os agentes de tratamento adotem sempre mecanismos claros para assegurar a transparência nas suas atividades (Ex.: avisos de privacidade), para que os titulares não sejam surpreendidos com a utilização de suas informações, especialmente quando o tratamento é secundário, ou seja, utilizado para finalidades diversas daquelas que geraram a necessidade da coleta dos dados do titular.

Cenário atual

A Autoridade Nacional de Proteção de Dados (ANPD) tem atuado constantemente na divulgação de materiais que buscam esclarecer e orientar sobre diversos aspectos relacionados com a Lei Geral de Proteção de Dados Pessoais (LGPD).

O site da ANPD já disponibiliza sete guias orientativos e dois fascículos sobre proteção de dados pessoais.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.

Já não é mais novidade que as organizações privadas (empresas e cooperativas, por exemplo) e públicas que realizam tratamento de dados pessoais (ou seja, que utilizam dados de pessoas físicas – colaboradores, clientes, associados, prospects, dentre outros) devem se adequar à Lei Geral de Proteção de Dados Pessoais - LGPD.

Para aquelas organizações que ainda não se adequaram, mais um estímulo: foi aplicada, pela Autoridade Nacional de Proteção de Dados (ANPD), a primeira penalidade administrativa pelo descumprimento da legislação.

A penalidade foi aplicada contra uma microempresa da cidade de Vila Velha (ES) que atua no mercado de telecomunicações, marketing e teleatendimento. Entre as infrações identificadas pela autoridade foram destacadas a ausência de indicação do Encarregado pelo tratamento de dados pessoais (Art. 41 da LGPD); de hipótese legal aplicável ao tratamento de dados pessoais (Artigo 7º da LGPD); de Relatório de Impacto à Proteção de Dados Pessoais e Registro das Operações de Tratamento de Dados Pessoais; e obstrução à atividade de fiscalização da ANPD (Artigo 5º do Regulamento de Fiscalização).

Em razão dos descumprimentos identificados, a empresa recebeu como penalidade uma advertência e uma multa simples no valor de R$ 14.400,00. As sanções foram definidas de acordo com o regulamento que estabelece a dosimetria das penalidades (Saiba mais sobre o regulamento).

Muito embora as micro e pequenas empresas resistam à implementação de programas de conformidade, a penalidade aplicada inaugura um novo momento para a proteção de dados pessoais no país. Isso porque, o discurso de que a fiscalização do cumprimento da LGPD alcançaria apenas grandes empresas ou organizações, antes já duvidoso, foi superado.

Medidas que podem ser adotadas pela empresa

A partir da notificação, a empresa penalizada poderá adotar as ações indicadas abaixo:

Conclusões preliminares 

A partir das penalidades aplicadas, Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB, indica que algumas conclusões preliminares podem ser extraídas do processo. Segundo ele, diversas situações que não envolvem vazamento de dados pessoais podem se caracterizar como descumprimento à LGDP. “Medidas organizacionais e de governança, por exemplo, quando não implementadas, poderão gerar a aplicação de penalidades”, explica.

Ainda de acordo com ele, é sempre muito importante nomear e manter um Encarregado pelo tratamento de dados pessoais, capacitado para o exercício da função, tanto para atender a legislação como para contribuir para que as solicitações da ANPD sejam atendidas pelos agentes de tratamento. “Além disso, confeccionar documentos obrigatórios, como o Relatório de Impacto à Proteção de Dados Pessoais e outros que demonstrem conformidade, é essencial”, complementa.

O encarregado lembra ainda que os agentes de tratamento de pequeno porte não estão isentos de cumprir as regras estabelecidas na LGPD e também estão no radar de fiscalização da ANPD.

Dica: Confira a matéria em que abordamos os documentos essenciais para a conformidade com a LGPD.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização e/ou punição pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade.

O Banco Central do Brasil e o Conselho Monetário Nacional, publicaram a Resolução Conjunta nº 06/2023 que estabelece requisitos para o compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, de pagamento e outras autorizadas a funcionar pelo Banco Central do Brasil.  

A norma entra em vigência em 1º de novembro de 2023 e cria diversas obrigações que devem ser integralmente observadas pelas cooperativas de crédito - algumas delas refletem diretamente nos programas de proteção de dados pessoais e, por consequência, no cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD - Lei 13.709/2018). 

O Sistema OCB disponibilizou um parecer jurídico que apresenta análise detalhada das disposições previstas na resolução, bem como as ações que as cooperativas de crédito devem adotar para cumprir seus termos em conformidade com a LGPD. Em resumo, o documento aborda os seguintes aspectos: 

• Apresenta uma breve contextualização sobre o compartilhamento instituído pelo normativo; 
• Relaciona os requisitos que devem estar presentes nos sistemas eletrônicos utilizados para a execução da atividade; 
• Destaca as regras que devem ser observadas nos relacionamentos com terceiros; 
• Descreve os cuidados necessários para a realização dos compartilhamentos; 

• Apresenta os prazos de retenção obrigatória;  
• Realiza uma análise jurídica da resolução conjunta e o seu relacionamento com as regras contidas na LGPD. 

O parecer apresenta ainda um rol de ações que devem ser adotadas pelas cooperativas de crédito para que o compartilhamento de dados e informações sobre indícios de fraudes ocorra em conformidade com as disposições do normativo publicado e a LGPD. 

O Sistema OCB reforça seu compromisso de promover ações que possibilitem o crescimento sustentável e adequado do cooperativismo no país, a partir do compartilhamento de diretrizes para que não apenas a legislação de proteção de dados pessoais seja observada, como também outros normativos que impactem direta ou indiretamente nas operações das cooperativas. 

Elaboramos um parecer jurídico que apresenta análise detalhada sobre a Resolução Conjunta nº 06/2023, que estabelece requisitos para o compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, de pagamento e outras autorizadas a funcionar pelo Banco Central do Brasil.

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, no último dia 14, o modelo de registro simplificado de operações de tratamento de dados pessoais destinado aos agentes de tratamento de pequeno porte (ATPP). O registro é um dos documentos obrigatórios indicados na Lei Geral de Proteção de Dados (LGPD) e pode ser definido como uma compilação estruturada das operações de tratamento realizadas na estrutura organizacional das cooperativas. 

Resultado de consulta pública realizada pela ANPD e 2022, o modelo recebeu contribuições de diferentes setores da sociedade, inclusive do Sistema OCB que apresentou sugestões para a melhoria do documento. Mais do que simplesmente cumprir uma obrigação legal, o registro também contribui com a implementação dos controles necessários para atender aos princípios e demais obrigações previstas na legislação.

Imagem do modelo disponibilizado pela Autoridade Nacional 

O novo modelo atende às disposições previstas na Resolução CD/ANPD nº 2/2021, que definiu medidas simplificadas para que os chamados agentes de tratamento cumpram as normas estabelecidas. Entre elas, estão as medidas de segurança da informação presentadas pela ANPD no guia orientativo sobre segurança da informação (Confira a matéria sobre este tema).

Art. 9º Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada.

Parágrafo único. A ANPD fornecerá modelo para o registro simplificado de que trata o caput.

Segundo a ANPD, o documento apresenta os campos essenciais para que a Coordenação-Geral de Fiscalização possa receber dos agentes as informações básicas e necessárias para possibilitar o exercício da atividade fiscalizatória da autoridade. 

O formulário apresenta os seguintes campos a serem preenchidos: 

• Informações de contato; 
• Categorias de titulares; 
• Compartilhamento; 
• Dados pessoais; 
• Medidas de segurança; 

• Período de armazenamento; 
• Processo, finalidade e hipótese legal; 
• Observações. 

As cooperativas que se enquadram na condição de agente de tratamento de pequeno porte, devem envolver os encarregados pelo tratamento de dados pessoais ou profissionais responsáveis pelo tem, na avaliação do modelo simplificado disponibilizado com o objetivo de avaliar se os registros de operações existentes estão adequados ao modelo simplificado divulgado. 

Já para as cooperativas que não sejam agentes de pequeno porte, recomenda-se que identifiquem se os registros de suas operações de tratamento apresentam os elementos trazidos no procedimento simplificado, uma vez que o documento pode ser utilizado como parâmetro para a implementação de melhorias nos programas de conformidade com a LGPD. 

Gostou do tema? Nos acompanhe e fique por dentro de todos os modelos de documentos publicados pela ANPD voltados aos programas de proteção de dados pessoais. 

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 24, enunciado que fixa entendimento para as possibilidades interpretativas do artigo 14 da Lei Geral de Proteção de Dados Pessoais (LGPD).

ENUNCIADO CD/ANPD Nº 1, DE 22 DE MAIO DE 2023

"o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei"

O enunciado é resultado do estudo preliminar conduzido pela ANPD em 2022 (Confira aqui mais informações sobre ele) e da consulta pública que resultou na coleta de 78 contribuições, oriundas de 12 estados brasileiros e de diferentes setores da sociedade. O Sistema OCB também participou deste movimento.

O enunciado reforça entendimento preliminar da ANPD e reafirma a possibilidade de tratar dados pessoais de crianças e adolescentes com base em outras hipóteses além do consentimento, incluindo execução de contrato, cumprimento de obrigação legal ou até mesmo o legítimo interesse do controlador.

O documento também traz mais segurança jurídica aos agentes de tratamento de dados, elimina possíveis divergências interpretativas e desburocratiza o tratamento dos dados pessoais de crianças e adolescentes, uma vez que, até então, por cautela, as atividades se justificavam apenas no consentimento do responsável legal da criança ou adolescente.

A ANPD sinalizou ainda que está trabalhando na elaboração de um guia sobre o uso da hipótese de tratamento “Legítimo Interesse”, o qual contará com orientações especificas para atividades envolvendo dados pessoais de crianças e adolescentes.

Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou lista sobre os processos administrativos de fiscalização que estão em curso para investigar eventuais descumprimentos das disposições da Lei Geral de Proteção de Dados Pessoais (LGPD). A relação conta com 16 processos movidos contra 27 organizações públicas e privadas.

Os processos de fiscalização são distintos dos administrativos sancionadores, uma vez que estes são instaurados para aplicação de sanções. Entenda as diferenças:

Processo de fiscalização:

Tem por objetivo avaliar o cumprimento da LGPD durante as atividades realizadas por determinada organização pública ou privada. Neles, a ANPD investiga o descumprimento de obrigações relacionadas à proteção de dados pessoais, podendo solicitar informações para as organizações investigadas e realizar auditorias. A Autoridade, pode ainda, propor medidas preventivas e planos de conformidade para que as organizações investigadas cumpram as disposições da LGPD. A partir do processo de fiscalização e a depender dos seus resultados, pode ser iniciado processo sancionador.

Processo sancionador:

Tem por objetivo aplicar sanções pelo descumprimento da LGPD. De acordo com a ANPD, normalmente é instaurado “quando já estão presentes indícios probatórios de infração”.  São conduzidos pela Coordenação-Geral de Fiscalização e asseguram o contraditório, a ampla defesa e o direito de recorrer. Os recursos são julgados pelo Conselho Diretor da ANPD. Além disso, as penalidades pelo descumprimento da Lei são diversas, incluindo advertência, bloqueio e suspensão de bancos de dados, além de multa de até 50 milhões de reais por infração.

Confira abaixo a lista de processos de fiscalização em curso:

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de fiscalização pela ANPD para que as cooperativas possam monitorar as áreas internas que merecem maior atenção durante a estruturação e manutenção dos programas de conformidade.

A Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou em seu site um guia online com informações detalhadas sobre os passos necessários para o envio de denúncias e petições/solicitações pelos titulares de dados pessoais. O objetivo é orientar sobre quando e como é possível contatar a ANPD para resolução de demandas envolvendo essas informações.

Segundo a ANPD, todos os requerimentos (Denúncias ou Petições) devem ser realizados a partir do preenchimento de formulários próprios e enviados por meio do Sistema Único de Processo Eletrônico em Rede (Sistema SUPER). No sistema, o titular deve indicar o tipo de processo desejado (Denúncia ou Petição) e juntar o formulário relacionado devidamente preenchido, juntamente com os demais documentos pertinentes ao caso. 

Formulário de Denúncia Imagem extraída do site da ANPD		Formulário de Petição Imagem extraída do site da ANPD

A ANPD esclarece que as denúncias ou petições realizadas através do sistema SUPER obrigatoriamente devem conter a identificação da pessoa. As denúncias anônimas, contudo, podem ser apresentadas por meio da plataforma Fala.br. 

Denúncias x Petições 

Denúncias: São comunicações feitas por qualquer pessoa à ANPD sobre supostas infrações à LGPD. Pode ser realizada de forma anônima. Exemplos: 

• Tratamento discriminatório dos dados pessoais; 
• Coleta excessiva de dados pessoais; 
• Ausência de nomeação do encarregado pelo tratamento dos dados pessoais; 
• Inexistência de canal de comunicação para o exercício de direitos; 

• Ausência de medidas de segurança adequadas; 
• Ausência de política de privacidade, entre outros. 

Petições: Solicitação realizada junto a ANPD pelo titular de dados pessoais quando não consegue exercer seus direitos junto ao controlador dos dados pessoais (ex.: organização pública ou privada que trata as informações). A ANPD reforça que o direito de petição somente será atendido se houver comprovação de que anteriormente o titular tentou contatar o controlador e não obteve sucesso. Não pode ser realizada de forma anônima.  

Descomplicando... 

• Caso a solicitação envolva os seus dados pessoais ou de uma pessoa que você represente (menor de idade, por exemplo), é assegurado o direito de peticionar/solicitar ou denunciar uma irregularidade;

• Caso a solicitação envolva dados pessoais exclusivamente de terceiros, é assegurado o direito de denunciar uma irregularidade.

A ANPD também desenvolveu um fluxograma didático para auxiliar na identificação de qual procedimento deve ser adotado, a depender da situação experimentada. Confira abaixo:

Informações importantes sobre as denúncias 

Denúncias não relacionadas à LGPD ou realizadas de forma genérica não serão admitidas. Para que elas sejam recebidas e processadas, precisam ser:

• Claras;

• Conter situação específica envolvendo dados pessoais; e
• Tratar sobre descumprimento da LGPD.

A ANPD reforça seu papel orientativo em relação às boas práticas de proteção de dados pessoais. É imprescindível que as cooperativas atendam adequadamente as solicitações das pessoas com as quais se relacionam, evitando que realizem denúncias ou solicitações para o órgão regulador.

Vale recordar que a não nomeação do DPO, não atendimento aos direitos assegurados pela LGPD e a inexistência de canal para atendimento aos direitos, configura descumprimento da LGPD e pode resultar na instauração do processo administrativo sancionador e na aplicação de penalidades administrativas.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca das matérias que serão objeto de orientação pela ANPD para que as cooperativas possam monitorar os impactos gerados na estruturação e manutenção dos programas de conformidade.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente o Relatório de Gestão da Ouvidoria, contendo o número de manifestações recebidas no período de 2022, os motivos das manifestações, análise de demandas recorrentes e providências adotadas para solução dos pleitos apresentados. O documento mostra que as solicitações de esclarecimentos quanto à aplicabilidade da lei (58%) e as petições e denúncias contra controladores de dados pessoais (15%) foram os itens mais frequentes.

Do total de 2.899 manifestações recebidas, 2.364 envolviam questões diretamente ligadas com a LGPD, sendo 1.684 pedidos de esclarecimentos quanto a aplicabilidade da LGPD; 425 petições de titulares e denúncias contra controladores de dados; e 255 consultas acerca da aplicabilidade da lei em casos específicos.

A partir do relatório, é possível identificar que as situações voltadas ao exercício de direitos dos titulares ou à adequação da LGPD são os assuntos que mais incitaram dúvidas e questionamentos. Outro ponto importante se deve ao fato de que 685 manifestações resultaram na orientação de que o envio de petição à ANPD deve ocorrer após o controlador dos dados já ter sido acionado, conforme prevê o art. 55-J, §6º da LGPD e o art. 26 da Resolução CD/ANPD nº 1, de 2021.

Assim, a ANPD reforçou a necessidade de as pessoas buscarem o exercício de seus direitos junto ao controlador dos dados pessoais e, somente após esse contato, caso não tenha sucesso, peticionar perante a autoridade.

As informações apresentadas pela Ouvidoria da ANPD confirmam o fortalecimento da matéria de proteção de dados pessoais nas organizações e sociedade em geral, fruto do amadurecimento do tema decorrente da atuação e do avanço regulatório da matéria.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca da atuação ativa da ANPD para que as cooperativas possam monitorar os riscos e os pontos de atenção necessários para a manutenção dos programas de conformidade.

Em recente decisão, a Segunda Turma do Superior Tribunal de Justiça (STJ) determinou, por unanimidade, que o vazamento de dados pessoais comuns, definidos pela Lei Geral de Proteção de Dados (LGPD), não gera, por si só, indenização por danos morais, ainda que seja uma falha indesejável em sistemas ou outros ambientes.

O entendimento foi estabelecido em um recurso especial (nº 2.130.619/SP) interposto pela Eletropaulo contra um acordão do Tribunal de Justiça de São Paulo (TJSP) que havia condenado a concessionária a pagar indenização por danos morais, no valor de R$ 5 mil, em razão do vazamento de dados pessoais de uma cliente. De acordo com o STJ, os dados pessoais vazados eram de natureza comum, fornecidos em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, protegidos por sigilo, e o conhecimento por terceiros em nada violaria o direito de personalidade da cliente.

Em seu voto, o Ministro Francisco Falcão, sinalizou que “diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano”. Ainda segundo ele, “O vazamento de dados pessoais, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações”.

A LGPD estabelece um rol de penalidades administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Além delas, os titulares de dados pessoais podem questionar a regularidade das atividades realizadas pelas cooperativas e outras organizações e o cumprimento da lei por meio de processos judiciais, requerendo, como no caso descrito, pagamento de indenização por danos materiais ou morais.

O número de processos ajuizados com fundamento na LGPD apresenta crescimento constante. Em 2021, de acordo com o jornal Folha de São Paulo, eram mais de 600 ações que discutiam questões relacionadas ao tratamento de dados pessoais. Recentemente, o site Jota veiculou matéria, indicando que entre 2020 e 2022 aumentou em 500% o volume de processos julgados pelos tribunais.

O recente posicionamento do STJ demonstra que os titulares de dados pessoais podem continuar buscando reparação por danos morais em decorrência de vazamentos, mas, para a procedência do pedido, é indispensável a comprovação de que o fato trouxe, efetivamente, algum abalo, dor ou sofrimento que justifique a indenização. Ou seja, a simples ocorrência dos vazamentos em razão de alguma falha técnica, administrativa, comportamental ou de qualquer outra natureza não origina, de imediato, o direito ao recebimento de eventual indenização.

O crescente número de processos ajuizados com fundamento na LGPD e o avanço da interpretação dos efeitos do descumprimento da lei pelo judiciário reforçam que as cooperativas devem estruturar seus programas de conformidade e, mais do que isso, mantê-los diariamente por meio de processos e controles adequados aos seus respectivos ambientes (físicos e virtuais).

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de entendimentos definidos pelo Poder Judiciário e que possam impactar os programas de conformidade das cooperativas.