A Autoridade Nacional de Proteção de Dados (“ANPD”), autarquia especial vinculada ao Ministério da Justiça, tem como principal propósito zelar pela proteção de dados pessoais, na forma da Lei Geral de Proteção de Dados (Lei Nº 13.709, de 14 de agosto de 2018, “LGPD”). Com independência técnica e poder decisório, a ANPD é responsável pela regulamentação, supervisão e orientação sobre a aplicação da legislação de proteção de dados.
Em 2024, a ANPD teve uma atuação ativa, tendo aprovado resoluções relevantes para a aplicação da LGPD e iniciado processos de fiscalização e sancionadores contra agentes de tratamento que alegadamente descumpriram as disposições da LGPD. Abaixo, destacamos os principais marcos dessa atuação:
Resolução CD/ANPD nº 15: Regulamento de Comunicação de Incidente de Segurança
A ANPD aprovou, em 24 de abril de 2024, a Resolução CD/ANPD nº 15, que estabelece os procedimentos e critérios a serem cumpridos pelo controlador para comunicar incidentes de segurança à ANPD e aos titulares dos dados, nos casos em que incidentes de segurança possam acarretar risco ou dano relevante aos titulares dos dados.
A referida resolução estabelece os prazos, procedimentos e critérios a serem cumpridos pelo controlador para comunicar incidentes de segurança à ANPD e aos titulares dos dados, nos casos em que incidentes de segurança possam acarretar risco ou dano relevante aos titulares dos dados, além de estabelecer os prazos e critérios para o registro e armazenamento dos incidentes.
A resolução ainda definiu o procedimento que a ANPD pode instaurar para apurar os incidentes e as providências que a ANPD poderá requerer ao controlador para salvaguardar os direitos dos titulares.
Resolução CD/ANPD nº 18: Regulamentação da Atuação do Encarregado
Em 16 de julho de 2024, foi aprovada a Resolução CD/ANPD nº 18, que detalha as a atuação do encarregado (Data Protection Officer – DPO), definido pela ANPD como a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
A resolução traz critérios sobre os requisitos para a indicação do encarregado, definindo as formalizações necessárias para a indicação do encarregado e os requisitos para a divulgação das informações do encarregado, além de definir suas atribuições, atividades e deveres e critérios para a prevenção e identificação de conflitos de interesses relacionados ao desempenho das funções do encarregado.
Resolução CD/ANPD nº 19: Regulamento de Transferência Internacional de Dados
Em 23 de agosto de 2024, a ANPD publicou a Resolução CD/ANPD nº 19, qu versa sobre as transferências internacionais de dados e o conteúdo das cláusulas-padrão contratuais, regulamentando os artigos 33 a 36 da LGPD. A resolução estabelece procedimentos e regras para garantir um nível de proteção equivalente ao da LGPD nas transferências de dados para outros países ou organismos internacionais, ou quando o controlador oferecer garantias de cumprimento do regime de proteção de dados previsto na LGPD na forma de cláusulas contratuais ou normas corporativas globais.
A resolução também estabeleceu a necessidade de adotar procedimentos compatíveis com boas práticas internacionais para assegurar o fluxo seguro de dados entre fronteiras. A resolução impôs responsabilidade e prestação de contas por parte dos controladores nas transferências internacionais de dados, exigindo medidas eficazes para garantir o cumprimento dos princípios, direitos e deveres estabelecidos pela LGPD. Além disso, enfatizou a necessidade de transparência na transferência internacional de dados, permitindo que os titulares tenham pleno conhecimento sobre a transferência de seus dados para países estrangeiros.
Ademais, a Resolução CD/ANPD nº 19 publicou cláusulas-padrão contratuais para estabelecer as garantias mínimas e condições válidas para a realização de transferências internacionais de dados.
Medidas Sancionadoras e Preventivas
Em termos de sanções administrativas, em 2024, a ANPD ampliou sua atuação e impôs sanções a três entidades públicas brasileiras. A primeira penalidade aplicada foi dirigida à Secretaria Regional de Educação do Distrito Federal (“SEEDF”), que recebu quatro advertências da ANPD pela ocorrência de diversas irregularidades em suas atividades, como a manutenção inadequada de registros relacionados a dados pessoais e omissão na elaboração do Relatório de Impacto à Proteção de Dados quando solicitado pela ANPD.
A segunda sanção foi imposta contra o Instituto Nacional de Seguridade Social (“INSS”), pela ausência de comunicação aos titulares de um incidente de segurança ocorrido entre agosto e setembro de 2022, e que pode ter levado à exposição de dados pessoais dos titulares. A ANPD exigiu que o INSS divulgasse a infração em seu site e no aplicativo “Meu INSS” durante um prazo de 60 dias, juntamente com o envio de notificações a todos os usuários do aplicativo sobre o ocorrido.
A terceira sanção foi aplicada contra o Ministério da Saúde em razão de incidente de segurança ocorrido em 2022 envolvendo o sistema de cadastro e permissão de acesso da entidade. O Ministério da Saúde foi punido com duas sanções de advertência pela não comunicação do incidente de segurança aos titulares e à ANPD e pela ausência de medidas de segurança adequadas.
Segundo o site da ANPD, outros três processos administrativos sancionadores estão em andamento, instaurados em face do Ministério da Saúde e da Secretaria de Desenvolvimento Social, Criança e Juventude – SDSCJ (pela ausência de comunicação a titulares de incidente de segurança e ausência de medidas de segurança) e da Bytedance Brasil Tecnologia Ltda. – TikTok (por condutas que não observam o melhor interesse de crianças e adolescentes).
Além das sanções administrativas, a ANPD também adotou medidas preventivas e iniciou processos de fiscalização relevantes. Em especial, em 2 de julho de 2024, a ANPD aplicou uma medida preventiva contra a Meta Platforms, determinando a suspensão imediata da nova política de privacidade da empresa. A política autorizava o uso de dados pessoais coletados em suas plataformas, como Facebook, Messenger e Instagram, com o objetivo de treinar o sistema de inteligência artificial generativa da Meta, a Llama 3. Como a Meta apresentou um Plano de Conformidade atualizado, com diversas medidas a serem implementadas com o objetivo reforçar o compromisso com transparência no tratamento de dados pessoais e adequar suas práticas às exigências da LGPD, comprometendo-se também a não usar dados pessoais de contas de crianças e adolescentes para treinar o seu modelo de IA, a ANPD aprovou o plano e determinou o seu monitoramento pela Coordenação-Geral de Fiscalização.
Ademais, em 17 de dezembro de 2024, a ANPD também determinou à X. Corp a suspensão do tratamento de dados de contas de crianças e adolescentes para fins de treinamento de IA generativa, dentre outras medidas preventivas determinadas no âmbito do processo de fiscalização.
A ANPD também anunciou a abertura de processo de fiscalização contra vinte empresas de grande porte que não indicaram o contato do encarregado pelo tratamento de dados pessoais ou que disponibilizaram canais de comunicação ineficazes.
Agenda Regulatória 2025-2026: Foco em Transparência e Segurança
Em 9 de dezembro de 2024, foi publicada a Resolução nº 23, que aprovou a agenda regulatória da ANPD para o biênio de 2025 e 2026. A agenda definiu as iniciativas regulatórias e os processos que serão adotados pela ANPD em quatro fases. Segundo a Resolução, a ANPD priorizará as iniciativas previstas na agenda em suas ações e planejamentos, com ênfase nos direitos dos titulares, como o direito de acesso, retificação e exclusão de seus dados pessoais. Também serão estabelecidos requisitos para o compartilhamento e tratamento de dados pessoais entre o setor público e o setor privado, visando maior segurança e transparência. A proteção de dados de menores, especialmente em ambientes digitais, e o uso de dados biométricos também são temas prioritários.
Em relação a medidas de segurança e inteligência artificial, a resolução prevê que os próximos anos serão focados no estabelecimento de padrões mínimos de segurança para o tratamento de dados pessoais, prevenindo acessos não autorizados e violações de privacidade. Além disso, a agenda inclui temas como tratamento de dados de saúde, consentimento dos titulares e proteção de dados de crédito.
Para mais informações sobre a LGPD e a atuação da ANPD, entre em contato com Saud Advogados.