Recentemente, em meio às divulgações que impactam diretamente o valor de aplicação das multas administrativas, a Autoridade Nacional de Proteção de Dados (ANPD) acabou expondo a lista atualizada dos processos instaurados pela Coordenadoria Geral de Fiscalização (CGF) e quais eram os pontos focais de atenção em cada um deles. Da lista divulgada, foi possível visualizar que a ANPD está determinada a punir aqueles controladores que, majoritariamente, não possuem as medidas de segurança exigidas.
Liderando a lista, está a (1) falta de medidas técnicas e organizacionais capazes de prever e mitigar qualquer dano irregular ou ilícito envolvendo os dados pessoais processados.
Ainda no que se refere à adoção de medidas técnicas e organizacionais, os métodos de comunicação são diretamente impactados por estes procedimentos, sendo assim, a (2) ausência de comunicação dos titulares de dados em casos de incidentes é o segundo ponto mais citado pela CGF, ao lado da (3) falta de atendimento de requisitos da ANPD. O que explica o número de processos destes itens é justamente o fato de que uma empresa sem controle das suas práticas e atividades é incapaz de manter boa comunicação com seus titulares, sendo eles colaboradores ou clientes.
Na sequência, a (4) ausência de delimitação de encarregado de proteção de dados e (5) a ausência de apresentação de relatório de impacto foram muito citadas. Isso sugere que a denominação de um responsável por garantir o cumprimento da LGPD e um plano de ação concreto aplicado às atividades internas de processamento de dados são essenciais para a plena regularidade do Programa de Proteção e Privacidade.
Por fim, considerando a falta de um relatório de impacto apropriado e bem elaborado, os demais itens da lista incluem a (6) ausência de registro de operações, mencionando que a falta de documentação apropriada e específica para o tratamento de dados que foram realizados pela empresa dificulta o controle e o monitoramento pela ANPD, bem como a (7) ausência de indicação de bases legais, as quais são imprescindíveis para a identificação das medidas autorizadoras para o processamento de qualquer dado pessoal e dado pessoal sensível.
Por:
Eduardo Anversa Scremin – OAB/RS 110.840
Luiza Gabbi Biesdorf – OAB/RS 124.380
