Diferentemente de autoridades de outros países, a Autoridade classificou os casos de forma genérica como verificação de conformidade do tratamento de dados pessoais. Mas isso, além de não atender ao princípio da transparência, coloca todos no mesmo nível de enquadramento perante os olhares da opinião pública.
Patricia Peck (*)
A Autoridade Nacional de Proteção de Dados (ANPD) precisa estar junto do mercado para ajudar na jornada de conformidade. Mas os efeitos negativos reputacionais podem prejudicar a marca em casos que são de baixa gravidade colocados junto dos de alta violação. Exemplo: uma pessoa que tem sua foto tirada num depoimento que foi dar em uma delegacia e nessa foto é colocada ao lado de um assassino. O que causa na imagem pública?
Os primeiros casos no site da ANPD não apresentam critérios claros de escolha da Autoridade para definir a ordem de prioridade da fiscalização. Das mais de sete mil denúncias recebidas na ouvidoria, mais de 1.200 viraram processos fiscalizatórios e agora mais de 20 instituições estão respondendo ainda em fase inicial de fiscalizações investigativas. Mas isso traz ainda mais impacto. Pois nem é Processo Sancionador.
Diferentemente de autoridades de outros países, a ANPD classificou os casos de forma genérica como verificação de conformidade do tratamento de dados pessoais. Mas isso, além de não atender ao princípio da transparência, coloca todos no mesmo nível de enquadramento perante os olhares da opinião pública.
O site Law GDPR Enforcement Tracker traz uma visão geral das multas e penalidades que as autoridades de proteção de dados na União Européia (UE) impuseram sob o Regulamento Geral de Proteção de Dados da UE (GDPR, DSGVO). Ela apresenta pelo menos um tipo de análise de conformidade para quem lê e consiga discernir os níveis de problema, com a finalidade de não expor as marcas como se todas tivessem cometido a mesma violação.
Não se pode comparar um caso de análise de tratamento de base legal para uso de CPF dentro de um modelo de negócio de indústria com um caso de megavazamento por violação de segurança, que traz consequências danosas para todos, com efeitos colaterais de aumento de fraude e riscos e danos relevantes para os indivíduos.
Não se pode colocar na mesma página e medida de prioridade a análise de um caso sobre aviso de política de privacidade ou prazo de atendimento de direito de titular a um caso em que há perda de dados com prejuízo incalculável devido a sequestro de dados e inexistência de medidas protetivas de segurança.
Ou ainda um caso em que haja falta completa de atendimento de solicitações da Autoridade, inexistência de Encarregado, que são requisitos da lei formal, como do Artigo 41. Pois senão o Data Protection Officer (DPO) que foi nomeado imagina o que mais não está em conformidade.
Referências internacionais
Então, neste quesito, a ANPD poderia aprimorar imediatamente sua atuação e seguir as referências internacionais, conforme foi apresentado pela Comissão Nacional de Proteção de Dados (CNPD) na pesquisa de Benchmarking entregue pelo GT2 conduzida em 2022, sob a minha coordenação como Conselheira Titular.
Há poucas informações. Só as partes habilitadas podem saber mais. Isso é o oposto do que as Diretorias de Polícia Administrativa (DPAs) estrangeiras fazem. Pelo menos mencionam os artigos que se referem à instauração da investigação e do processo sancionador: refere Art. 6 (princípios), Artigos 8 e 9 (políticas e consentimento), Artigos 7 e 11 (bases legais), Artigo 10 (legítimo interesse), Artigo 14 (criança e adolescente), Artigos 18 e 19 (direitos dos titulares), Artigo 41 (Encarregado) e Artigo 46 (medidas técnicas segurança). Teriam que citar isso. Alguns dos mais de 20 casos envolvem todas estas violações de artigos. O que significa que teremos muito provavelmente a possibilidade de aplicação da multa máxima por gravidade alta.
(*) Professora de Direito Digital da ESPM, sócia do Peck Advogados e Conselheira da Comissão Nacional de Proteção de Dados (CNPD)