Digital

Recentemente, tem havido um aumento no crime comumente chamado de “golpe do falso advogado”, um esquema criminoso que tem causado prejuízos consideráveis às vítimas. Os golpistas entram em contato por meio de ligações, mensagens ou redes sociais, fingindo representar as vítimas em processos judiciais.

 

Para ganhar confiança da vítima, eles utilizam perfis falsos de advogados reais ou criam perfis fictícios, muitas vezes usando sinais distintivos de escritórios e fotos de advogados captadas da internet. Após conquistar a confiança, solicitam depósitos ou pagamentos por serviços ou taxas judiciais inexistentes, pedindo valores urgentes e oferecendo “serviços”, como a liberação de alvarás ou a resolução rápida de disputas judiciais.

 

Dicas para Evitar o Golpe:

 

Verifique o número de quem está entrando em contato: Se já está sendo representado por um advogado e receber uma mensagem ou ligação de um número desconhecido, confirme o número antes de seguir qualquer instrução. Sempre compare o número de telefone com aquele que você já utiliza para falar com seu advogado e, restando dúvidas, entre em contato com o número disponível nos canais oficiais do escritório ou que utiliza para falar com ele habitualmente.

 

Desconfie de Promessas Rápidas: Processos judiciais, principalmente os que envolvem liberação de valores, costumam ser demorados. Promessas de liberação imediata ou rápida resolução são um sinal de alerta.

 

Use os canais oficiais e públicos dos escritórios: Se for contatado diretamente por alguém que diz ser advogado, sempre tenha meios de verificar a veracidade dessa informação, como uma ligação ao escritório em que ele supostamente trabalha, usando contatos disponíveis em canais públicos disponibilizados pelo escritório, como seu site ou redes sociais oficiais.

 

A fraude praticada por falsos advogados pode trazer sérios prejuízos financeiros e emocionais às vítimas. A proteção contra esses golpes exige cautela, atenção a detalhes e a busca por informações confiáveis.

 

Verificar sempre a legitimidade do profissional, desconfiar de promessas rápidas e ter um canal direto de comunicação com seu advogado são medidas essenciais. Ao suspeitar de qualquer irregularidade, procure um advogado de confiança e tome as providências legais adequadas para proteger seus direitos.

 

1. Introdução

 

A aproximação das eleições suscita diversas dúvidas e preocupações, especialmente no que concerne à coleta de dados pessoais pelas empresas de pesquisa. A realização de pesquisas eleitorais de forma séria e transparente é fundamental para a democracia, pois proporciona informações valiosas aos eleitores, partidos políticos e candidatos.

 

Realizadas por meio de amostragem, as pesquisas eleitorais visam medir a intenção de voto das pessoas no momento da realização da pesquisa, trazendo credibilidade ao processo eleitoral.

 

Para realização de uma pesquisa eleitoral, dados pessoais dos eleitores são coletados, o que impõe tratamento adequado a esses dados, conforme estabelecido na Lei 13.709/18, Lei Geral de Proteção de Dados Pessoais (“LGPD”).

 

A LGPD entrou em vigor em 18/09/2020, sendo o marco regulatório da proteção de dados no Brasil, que regulamenta o tratamento das operações envolvendo dados pessoais, seja no meio digital ou meio físico.

 

A Lei abarca, dentre outras questões, os direitos dos titulares dos dados pessoais, os agentes de tratamento e suas respectivas obrigações, os parâmetros de segurança da informação e instruções quanto à atuação da Autoridade Nacional de Proteção de Dados (“ANPD”).

 

A LGPD se aplica a qualquer agente (pessoa física, jurídica ou órgão público) que realize o tratamento de dados pessoais, o que inclui o simples acesso aos dados de eleitores, até o armazenamento, transferência, classificação, eliminação, ou qualquer outra manipulação desses dados pessoais.

 

2. Dados Sensíveis e a Necessidade de Consentimento

 

Para realização do tratamento de dados pessoais, o agente de tratamento deve estar amparado em uma das hipóteses legais autorizativas no artigo 7º da LGPD. No caso de dados pessoais sensíveis, que incluem informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados relacionados à saúde ou à vida sexual, além de dados genéticos ou biométricos vinculados a uma pessoa natural, o tratamento só é permitido se estiver amparado pelas condições específicas do artigo 11º da mesma lei. Portanto, a manipulação desses dados deve estar amparada em uma dessas hipóteses legais para garantir conformidade com a LGPD.

 

No Brasil, as pesquisas eleitorais são realizadas, em sua maioria, presencialmente ou por telefone e para realização da pesquisa, muitos dados pessoais do entrevistado são coletados.

 

Considerando a coleta dos dados pessoais, necessário se faz a adequação a uma hipótese legal para que haja o tratamento desses dados.

 

Como opinião política é considerado um dado pessoal sensível, independente das demais perguntas que são realizadas na pesquisa, há tratamento de deste dado pessoal, o que impõe a análise do artigo 11 da LGPD que define as hipóteses em que um dado pessoal sensível pode ser tratado.

 

Pensando no cenário da pesquisa eleitoral, seria cabível a aplicação da base legal do consentimento (art. 11, I, LGPD) ou para “realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis” (art. 11, II, “c”).

 

Ocorre que, ao se aplicar a base legal do consentimento, é necessário gerir esse consentimento de maneira adequada. Isso significa garantir a conformidade com os regulamentos de proteção e privacidade dos dados, bem como atender aos requisitos específicos de consentimento. Em outras palavras, o titular/eleitor dos dados pessoais possui o direito de revogar o consentimento previamente dado, o que poderia inviabilizar a pesquisa eleitoral caso ele opte por exercer esse direito após ter fornecido o consentimento.

 

Deste modo, a base legal que melhor se aplica às pesquisas eleitorais, é a para realização de estudos por órgão de pesquisa, prevista no artigo 11, II, c, da LGPD.

 

Entretanto, a LGPD, na observância dessa base legal, define que para sua aplicação, deve ser garantida, sempre que possível, a anonimização dos dados pessoais sensíveis.

 

Como a opinião política é um dado pessoal sensível e no caso das pesquisas eleitorais é uma informação indispensável para sua realização, o ideal é que haja anonimização do titular/eleitor que realizou a pesquisa.

 

3. Anonimização e Garantias de Conformidade

 

A anonimização dos dados pessoais é importante, principalmente considerando a ocorrência de um vazamento de dados. Isso comprometeria a privacidade dos eleitores, expondo-os a campanhas de assédio, manipulação política ou até mesmo discriminação. Tais vazamentos podem ser explorados por agentes com interesses políticos e financeiros, que podem intimidar ou coagir eleitores, prejudicando a liberdade de escolha, o ambiente democrático e consequentemente, interferindo diretamente no resultado da eleição.

 

Ademais, caso haja divulgação de que os dados pessoais coletados nas pesquisas eleitorais estão sendo mal utilizados, pode haver uma crise de confiança no processo eleitoral como um todo. Podendo resultar em baixa participação nas eleições, um aumento nas teorias sobre existência de fraude e manipulação de votos, e uma maior polarização social.

 

Uma maneira eficaz para realizar a anonimização dos dados pessoais, é a utilização de algumas técnicas de anonimização, como a de generalização, na qual há o agrupamento de valores detalhados em categorias mais amplas. Por exemplo, em vez de registrar uma idade exata, é possível agrupá-la em intervalos (20-30, 30-40, etc.).

 

A aplicação do princípio na LGPD de minimização dos dados coletados, que consiste em coletar apenas os dados estritamente necessários para a finalidade em questão, também contribui com a efetividade da anonimização, isto porque quanto menos dados forem processados, menor o risco de reidentificação.

 

Por fim, é interessante que, caso possível, sejam anonimizados outros dados pessoais, além dos dados pessoais sensíveis, como os dados indiretos que, combinados, podem possibilitar a identificação de uma pessoa.

 

4. O Impacto da LGPD nas Pesquisas Eleitorais

 

Ademais, imperioso ressaltar que as empresas que realizam pesquisa eleitoral devem estar em conformidade com a LGPD em todo o tratamento do dado pessoal do titular/eleitor, garantindo transparência no tratamento de seus dados, ou seja, o titular deve ser informado sobre a finalidade da coleta desses dados, assim como se haverá compartilhamento e com quem e demais informações como onde esses dados serão armazenados e por quanto tempo.

 

As empresas deverão seguir os princípios estabelecidos na LGPD, com destaque para o princípio da finalidade e necessidade, no qual o tratamento somente poderá ser realizado para a finalidade informada ao titular dos dados pessoais e a coleta dos dados deve ser a necessária para se atingir a finalidade.

 

Ou seja, as empresas vão ter que se adequar, de modo que não poderão mais coletar dados indiscriminadamente que vão além do necessário a realização de uma pesquisa eleitoral, devendo informar ao titular a razão pela qual tais dados estão sendo coletados, priorizando, sempre que possível, a anonimização do titular dos dados pessoais.

 

Outrossim, a Autoridade Nacional de Proteção de Dados (ANPD), em janeiro de 2024, contribuiu para o teor da Minuta de Resolução do Tribunal Superior Eleitoral, que altera a Resolução TSE nº 23.610, de 18 de dezembro de 2019[1]. Essa resolução dispõe sobre propaganda eleitoral, utilização e geração do horário gratuito e condutas ilícitas em campanha eleitoral, e como uma de suas contribuições, está a proibição de formação de perfil de eleitores com base em dados pessoais sensíveis, salvo se obtido o consentimento específico e destacado do titular de dados.

 

Desse modo, na coleta de dados dos eleitores realizadas durante a pesquisa eleitoral, caso a finalidade ultrapasse a pesquisa em si e vise à formação de perfil eleitoral, a coleta desses dados “excessivos” deve ser feita mediante o consentimento específico do eleitor. É necessário informar ao eleitor a finalidade para a qual tal dado pessoal está sendo coletado. As empresas de pesquisa devem possuir meios adequados e eficazes para realizar o gerenciamento desse consentimento.

 

Essa alteração impacta diretamente as estratégias de marketing político, que frequentemente se baseavam no perfilamento dos eleitores para direcionar campanhas de forma segmentada.

 

Sob a ótica da conformidade com a LGPD, essa alteração impõe desafios adicionais, especialmente no que se refere à coleta e à gestão do consentimento, uma vez que é necessário garantir que o consentimento seja obtido de forma específica, destacada e devidamente documentada.

 

5. Conclusão

 

Em conclusão, é fundamental que as empresas de pesquisa eleitoral respeitem a LGPD. O não cumprimento das normas pode resultar em sanções pela Autoridade Nacional de Proteção de Dados (ANPD), que já vem aplicando uma série de penalidades para o descumprimento das suas diretrizes, que vão desde advertências, com prazo para adoção de medidas corretivas, até a suspensão parcial ou total das atividades de tratamento de dados. Além disso, a lei estabelece multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. O processo de fiscalização e aplicação dessas penalidades, seguem um processo que inclui notificações e, em casos mais graves, auditorias para verificar a conformidade das práticas de proteção de dados.

 

Portanto, as empresas devem se adequar e seguir rigorosamente a lei para garantir uma eleição segura e em conformidade com as disposições legais, assegurando a proteção dos dados dos eleitores e a integridade do processo eleitoral.

O uso de chatbots e outras ferramentas de Inteligência Artificial (IA), especialmente modelos de linguagem de grande escala, conhecidos como Large Language Models – LLMs (sistemas de IA capazes de processar e gerar texto com base em vastos conjuntos de dados), tem se tornado comum nas empresas. Essas ferramentas são capazes de melhorar a produtividade e proporcionar um atendimento mais rápido e eficiente aos clientes.

 

Mesmo considerando todas as vantagens, é essencial compreender os riscos envolvidos, principalmente no que diz respeito à proteção dos dados pessoais e corporativos. A seguir, destacamos alguns dos principais ataques e ameaças relacionados ao uso dessas tecnologias:

 

Sensitive Information Disclosure (Divulgação de Informações Sensíveis): Neste tipo de ataque, o invasor tenta extrair informações confidenciais armazenadas ou processadas pela IA. Geralmente isso envolve falhas de segurança nas respostas do LLM, onde ele pode involuntariamente fornecer dados sigilosos ou privados.

 

Manipulação de Saída Insegura: Usuários podem tentar extrair informações sensíveis ou inadequadas do modelo. Para mitigar isso, é necessário estabelecer controles rígidos sobre as saídas geradas pelo LLM, garantindo que ele não divulgue dados confidenciais ou realize ações imprevistas. Exemplo: Um atacante pergunta à IA sobre informações de clientes que deveriam ser mantidas em sigilo, mas a IA responde devido à falta de controles adequados.

 

Vulnerabilidades na Cadeia de Suprimentos: A segurança do LLM não depende apenas de seus próprios dados, mas também da conexão entre o modelo e suas dependências, como datacenters, APIs e sistemas externos. Qualquer vulnerabilidade em um desses pontos de conexão pode comprometer o modelo como um todo, fazendo com que dados possam ser vazados.

 

Design de Plugin Inseguro: Plugins usados para acessar e estender a funcionalidade de um LLM podem representar uma grande ameaça se não forem devidamente controlados. Preocupações com os privilégios e permissões de plugins inseguros podem comprometer o acesso aos dados ou à integridade do sistema.

 

Denial of Service (DoS): Assim como ataques de negação de serviço em servidores convencionais, um DoS em modelos de IA ocorre quando há uma tentativa deliberada de sobrecarregar o sistema, gerando chamadas grandes ou repetitivas. Exemplo: Um invasor envia um número excessivo de consultas a um chatbot corporativo, resultando em lentidão ou queda do sistema, interrompendo os serviços.

 

Injeção de Prompts: Esse ataque ocorre quando usuários mal-intencionados inserem prompts ou entradas não autorizadas no modelo de linguagem (LLM) para manipular suas respostas, seja diretamente ou indiretamente. Exemplo: um atacante pode tentar forçar o modelo a gerar resultados incorretos ou comprometer a integridade de uma resposta.

 

Training Poisoning: A eficácia do modelo de IA está diretamente relacionada à qualidade dos dados com os quais ele é treinado. Em ataques de “training poisoning”, agentes maliciosos introduzem dados corrompidos ou tendenciosos no processo de treinamento, prejudicando o desempenho do modelo e levando-o a tomar decisões incorretas ou prejudiciais.

 

Excessive Agency (Agência Excessiva): Essa vulnerabilidade surge quando o LLM é dotado de permissões excessivas, permitindo que ele tome decisões ou realize ações sem supervisão adequada. Delegar muita autoridade a um sistema sem verificar suas ações pode gerar riscos significativos.

 

Para garantir que sua empresa esteja devidamente protegida é fundamental contar com uma assessoria jurídica especializada. A contratação de profissionais é necessária para assegurar que os contratos firmados com fornecedores de tecnologias de IA contemplem cláusulas específicas para resguardar os dados pessoais, dados corporativos e a integridade das operações, ou mesmo para analisar termos de uso e políticas de privacidade de LLMs e auxiliar a entender como ela tratará os dados.

A prática coloquialmente conhecida como “Estelionato sentimental” é uma forma de abuso emocional em que o estelionatário manipula a vítima para obter ganhos financeiros ou patrimoniais. Esse tipo de prática, não encontra tipificação específica pelo Código Penal, sendo considerado pelos juízes como estelionato. Além da ação penal, tal prática pode levar a ações judiciais no âmbito do Direito Civil, onde a vítima busca a compensação financeira pelos danos sofridos.

 

Essa forma de estelionato é caracterizada pela construção de um relacionamento afetivo com o intuito de explorar emocionalmente a vítima. Após conquistar a confiança e a afeição dela, o golpista começa a solicitar dinheiro ou presentes sob pretextos falsos ou exagerados. A vítima, por estar emocionalmente envolvida, muitas vezes atende aos pedidos, acreditando nas justificativas apresentadas.

 

Em diversos casos que vêm sendo investigados, os golpistas analisam as redes sociais de suas possíveis vítimas para avaliar qual o trabalho da pessoa, se ela possui bens ou realiza viagens, com o fim de escolher alguém de quem possam obter vantagens financeiras. Além disso, eles estudam os seus gostos e preferências pessoais, que são usados para conquistá-la e convencê-la de que o golpista é uma ótima opção.

 

Quando a vítima percebe que foi enganada, ela pode optar por uma ação civil para reaver os valores. É possível buscar a reparação dos danos causados, tanto materiais quanto morais. Para isto, a vítima deve reunir provas documentais e testemunhais que demonstrem o vínculo afetivo estabelecido e a posterior manipulação para obtenção de vantagens financeiras. É fundamental apresentar registros bancários, comprovantes de transferência ou quaisquer documentos que comprovem os valores entregues ao estelionatário.

 

Também é importante considerar os danos morais. A manipulação emocional sofrida pode ter um grande impacto na saúde mental da vítima, e isso pode ser argumentado no pedido de indenização. A ação civil é uma maneira de buscar justiça e responsabilizar o estelionatário, financeiramente, pelo prejuízo causado.

 

Se você suspeita que foi vítima de estelionato sentimental, é fundamental buscar orientação jurídica para entender as medidas cabíveis e as possibilidades de sucesso em eventual ação. Compreender e exercer seus direitos é um passo fundamental para superar as consequências desse tipo de crime e resgatar sua tranquilidade financeira e emocional.

O Regulamento estabelece procedimentos obrigatórios para que os agentes de tratamento de dados comuniquem à ANPD e aos titulares sobre incidentes de segurança que possam comprometer a segurança ou a privacidade desses dados. Isso inclui eventos adversos que afetem a confidencialidade, integridade, disponibilidade ou autenticidade dos dados pessoais.

 

Tem por escopo proteger os direitos dos titulares de dados pessoais e estabelecer medidas para mitigar ou reverter prejuízos causados por incidentes de segurança. Além disso, busca promover a responsabilização e a prestação de contas pelos agentes de tratamento, estimular práticas de governança e segurança da informação, e fomentar uma cultura de proteção de dados pessoais.

 

Ainda, define claramente as responsabilidades dos agentes de tratamento, estabelecendo prazos específicos para a comunicação de incidentes à ANPD e aos titulares afetados. Segundo o Art. 6º, os controladores devem comunicar incidentes à ANPD em até três dias úteis após o conhecimento do incidente, acompanhados de informações detalhadas sobre a natureza dos dados afetados, número de titulares afetados, as medidas técnicas e de segurança adotadas e os possíveis impactos aos titulares, entre outros.

 

A ANPD poderá realizar auditorias e inspeções para verificar o cumprimento do Regulamento, podendo determinar medidas preventivas imediatas para proteger os direitos dos titulares. Além disso, o Regulamento prevê a possibilidade de aplicação de sanções em caso de descumprimento das normas estabelecidas.

 

Com a aprovação da Resolução CD/ANPD nº 15/2024, a ANPD reforça seu papel regulador na proteção de dados pessoais no Brasil, incentivando a transparência e a confiança nas relações entre agentes de tratamento e titulares. A implementação efetiva dessas medidas não apenas fortalece a segurança cibernética, mas também consolida o compromisso do Brasil com os padrões internacionais de proteção de dados.

 

Este Regulamento marca um avanço significativo na implementação da LGPD, alinhando-se com as melhores práticas globais em proteção de dados pessoais e reforçando a importância da comunicação transparente e eficiente de incidentes de segurança para a sociedade brasileira.

Desde a entrada em vigor da LGPD todos os Controladores são obrigados a nomear um Encarregado, exceto aqueles que se enquadram nas exceções para agentes de tratamento de pequeno porte. A Resolução representa um passo importante para tornar a função do Encarregado mais clara, bem definida e regulamentada.

 

Seguem os principais pontos da normativa:

 

• Nomeação formal: A indicação deve ser feita por documento escrito, datado e assinado, detalhando as atividades e formas de atuação do Encarregado. Este documento pode ser solicitado pela ANPD.
• Quem poderá ser um encarregado: O encarregado pode ser uma pessoa física (interna ou externa) ou jurídica, sem necessidade de certificações específicas, podendo acumular funções e trabalhar para mais de um agente de tratamento, desde que não gere conflito de interesses. A qualificação mínima do profissional deve considerar contexto, volume e risco do tratamento de dados pessoais.
• Divulgação dos dados: Devem ser divulgados o nome completo do encarregado e, no caso de pessoa jurídica, o nome empresarial e o nome completo da pessoa responsável, além das informações de contato para que os titulares possam exercer seus direitos.
• Encarregado substituto: Deve haver um substituto para o encarregado em caso de ausência, impedimento ou vacância, garantindo o atendimento contínuo dos titulares de dados.
• Obrigações da Organização: A organização deve garantir ao encarregado recursos humanos, técnicos e administrativos, autonomia técnica, e acesso direto aos níveis hierárquicos superiores. Deve solicitar assistência ao encarregado em decisões estratégicas e assegurar meios eficazes de comunicação com os titulares.
• Atividades principais: As atividades incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis, receber comunicações da ANPD e adotar providências, orientar os funcionários e contratados sobre práticas de proteção de dados pessoais, além de outras atribuições determinadas pelo agente ou normas complementares.

 

O encarregado deve adotar medidas necessárias ao receber comunicações da ANPD, incluindo encaminhar demandas internamente, fornecer orientação e assistência ao agente de tratamento, indicando o representante deste para casos de processo administrativo.

 

• Outras atividades: Assistir e orientar na elaboração e implementação de registros e comunicação de incidentes de segurança, registros de operações de tratamento de dados pessoais, relatórios de impacto à proteção de dados, supervisão e mitigação de riscos, medidas de segurança, compliance com a LGPD, instrumentos contratuais, transferências internacionais de dados, boas práticas e governança em privacidade, e design de produtos e serviços compatíveis com a LGPD.
• Não responsabilização: O encarregado não é responsável perante a ANPD pela conformidade do tratamento de dados pessoais realizado pelo controlador.
• Conflito de Interesse: O agente de tratamento deve garantir que o encarregado não exerça atribuições que gerem conflito de interesse e, se for constatada essa possibilidade, deve tomar providências como não indicar a pessoa para a função, implementar medidas para afastar o risco ou substituir o encarregado. A verificação do conflito de interesse será feita caso a caso, podendo resultar em sanção ao agente de tratamento. O encarregado deve declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse, responsabilizando-se pela veracidade das informações.

As alterações no regulamento do Pix, anunciadas pelo Banco Central, entrarão em vigor no dia 1º de novembro e incluem medidas como a redução dos valores de transferências realizadas por celulares ou computadores que não estejam cadastrados no banco.

 

Dessa forma, as transações não poderão exceder o valor de R$ 200,00, e o limite diário não poderá ultrapassar R$ 1.000,00. Para transações com valores acima dos mencionados, o novo dispositivo de acesso ao Pix (celular ou computador) deverá ser previamente cadastrado pelo cliente no banco, assim como nos casos em que o usuário mudar de aparelho.

 

Essa medida reduz as chances de fraudadores utilizarem dispositivos diferentes daqueles usados pelo cliente para gerenciar chaves e iniciar transações Pix.

 

Ademais, para garantir a segurança nas transações realizadas via Pix, algumas medidas foram impostas às instituições financeiras, a saber:

 

• Utilização de solução de gerenciamento de risco de fraude que contemple as informações de segurança armazenadas no Banco Central e que seja capaz de identificar transações Pix atípicas ou não compatíveis com o perfil do cliente;
• Disponibilização, em canal eletrônico de acesso amplo aos clientes, de informações sobre os cuidados que os clientes devem ter para evitar fraudes; e
• Verificação, pelo menos uma vez a cada seis meses, se seus clientes possuem marcações de fraude na base de dados do Banco Central.

 

Tais medidas têm como objetivo combater fraudes e golpes, garantindo aos usuários do Pix um meio de pagamento fácil e seguro.

Depois de passar por extensa consulta pública, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27 de fevereiro de 2023 a Resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. A medida era aguardada por muitos, já que a dosimetria é o método que orienta a escolha da sanção mais apropriada para o caso concreto e, apesar das sanções estarem previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n. 13.709/2018), não eram aplicadas pela ANPD por uma pendência de regulamentação. Assim, com a nova resolução a ANPD poderá cumprir plenamente sua função sancionadora.

 

O Regulamento estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, que levarão em conta o caso concreto, a realidade dos agentes envolvidos e os cuidados que foram tomados nos tratamentos de dados, para definir a sanção mais adequada, garantindo a proporcionalidade entre a sanção aplicada e a gravidade da conduta. Ainda, somente haverá a aplicação da sanção por decisão fundamentada, após o processo administrativo, com garantia à ampla defesa, ao contraditório e ao devido processo legal.

 

Para aplicação das penas serão levadas em consideração as atitudes do infrator, eventual vantagem por ele auferida com a situação, a condição econômica dos agentes envolvidos, a existência de reincidência, o grau do dano causado, quais os mecanismos adotados para minimizar os danos, se houve a adoção de políticas de governança em proteção de dados, entre outras circunstâncias da situação fática.

 

As sanções são as mesmas previstas na LGPD:

• advertências;
• multas;
• publicização da infração;
• bloqueio e eliminação dos dados a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a Infração; e
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Ainda, o Regulamento estabeleceu uma classificação para as infrações, segundo sua gravidade, natureza e direitos pessoais afetados:

 

• Leve: quando não verificada nenhuma das hipóteses relacionadas abaixo;

 

• Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.

 

• Grave: quando for verificada a hipótese estabelecida acima e, cumulativamente, pelo menos uma das hipóteses abaixo:

1. Envolver tratamento de dados pessoais em larga escala;
2. O infrator auferir ou pretender auferir vantagem econômica;
3. Implicar risco à vida dos titulares;
4. Envolver tratamento de dados pessoais sensíveis ou de crianças, adolescentes ou idosos;
5. Tratamento realizado sem amparo em uma base legal;
6. Tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
7. Adoção sistemática de práticas irregulares.

 

Destaca-se que a ANPD poderá aplicar as sanções administrativas para casos ocorridos desde 1º de agosto de 2021, quando os artigos que versam sobre o tema, previstos na LGPD, entraram em vigor.

 

Assim, as empresas devem estar atentas ao adequado tratamento de dados pessoais, para evitar a aplicação das sanções, sendo que algumas delas tem o potencial de gerar mais impactos que o valor de uma multa, como, por exemplo, a publicização da infração, sanção esta que pode abalar a confiança conquistada perante os consumidores, ou mesmo a proibição total do exercício de atividades relacionadas ao tratamento de dados, que pode inviabilizar toda a operação da empresa a depender de sua atividade precípua.

 

Com o Regulamento, a ANPD está devidamente aparelhada para exercer sua função coercitiva, podendo as organizações que ainda não se adequaram à LGPD ou que violem seus dispositivos responder pela sua conduta em processo administrativo.

A agenda publicada pela ANPD traz iniciativas divididas em 04 (quatro) fases, que foram organizadas em ordem de prioridade, levando em conta as contribuições feitas pela sociedade por meio da tomada de subsídios.   Em comparação com a agenda do biênio anterior, percebe-se que dobrou o número de matérias prioritárias. Neste biênio foram indicadas 20 (vinte) matérias, já no biênio anterior, apenas 10 (dez) matérias foram consideradas, indicando maior proatividade da Autoridade. Os Projetos de Regulamentação recebem as seguintes classificações de prioridade na Agenda Regulatória:   – Fase 1 – iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 (um) ano;   – Fase 2 – iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 01 (um) ano e 06 (seis) meses;   – Fase 3 – iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 2 (dois) anos.   Uma matéria que ganha destaque nesta agenda, e está prevista como o primeiro item da fase 1, é a regulação da dosimetria e aplicação de sanções administrativas. A Lei Geral de Proteção de Dados Pessoais (LGPD) versa que a ANPD definirá por meio de regulamento próprio sobre sanções administrativas por infrações a lei e sem a regulamentação, não há como aplicar multas.   O tema estava previsto para o biênio 2021/2022, porém não foi finalizado, sendo que a minuta de regulação foi objeto de consulta pública realizada entre agosto e setembro de 2022, atualmente na fase final de elaboração. A relevância pode ser percebida pois o valor máximo da multa prevista na lei é R$ 50.000.000,00 (cinquenta milhões de reais), razão pela qual é importante saber como será o cálculo e aplicação de tais multas, que são essenciais para garantir efetividade à atividade repressiva da autoridade.   De acordo com a agenda, os temas da primeira fase serão tratados em até 01 (um) ano, e por esta razão, as multas serão oficialmente, enfim, aplicadas a partir de 2023, pois mesmo havendo a determinação de aplicação em 2018, não havia regulação. Por isso, estima-se que este ano o tema “proteção de dados” estará ainda mais em pauta, levando em conta que muitos buscarão se adequar visando evitar as sanções.   O direito à proteção dos dados pessoais, inclusive nos meios digitais, é um direito fundamental protegido constitucionalmente, sendo essencial que todos aqueles que tratam dados estejam de acordo com a lei, para evitar vazamentos ou penalizações por parte da Autoridade, e aqueles que são titulares devem conhecer seus direitos, para que seja fomentada uma cultura de proteção de dados.   Percebe-se pela análise dos temas, como por exemplo, a definição sobre direitos de titulares, regulação da dosimetria das penas, definições sobre as regras relacionadas às comunicações de incidentes, que a Autoridade adotará uma postura mais fiscalizadora e coercitiva, já neste ano vigente, com o fim de garantir o cumprimento à LGPD.