Artigos e Publicações

Desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), muito se especulou sobre a atuação mais incisiva da Autoridade Nacional de Proteção de Dados (ANPD), que investiga atividades de tratamento de dados pessoais que ferem os dispositivos da LGPD impõe penalidades quando aplicável.

Aos poucos, a ANPD passou a estabelecer as diretrizes sobre os procedimentos dos processos de fiscalização e sanção, tendo em outubro de 2021 publicado o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador (Resolução CD/ANPD nº1/2021) sobre o tema e em fevereiro de 2023 aprovado Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº4/2023).

Nesse cenário, a Autoridade já realizou diversos processos de fiscalização e sanção, em que alguns resultaram na adoção de medidas para regularizar o problema e, em alguns casos mais severos, determinou-se a aplicação de multa e medidas reparatórias.

Recentemente, a ANPD concluiu o processo de fiscalização de redes de farmácias e determinou ajustes de conduta no tratamento de dados pessoais. Tais processos de fiscalização tiveram início em maio de 2023 e envolveram grandes empresas do setor farmacêutico, como a RaiaDrogasil, STIX Fidelidade e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias).

A Coordenação Geral de Fiscalização da ANPD arquivou o processo da STIX Fidelidade e implementou medidas preventivas em relação à rede RaiaDrogasil e à Febrafar, além de abrir um Processo Administrativo Sancionador contra a RaiaDrogasil.

A fiscalização pela Autoridade se iniciou por identificarem algumas práticas de tratamento de dados pessoais que poderiam estar em descumprimento com a LGPD, como: coleta de biometria, que tendo em vista ser um dado pessoal sensível que deve ser coletado somente quando necessário, vez que um vazamento de dados desse tipo pode acarretar em sérias consequências aos titulares; a falta de informação aos titulares sobre o prazo de armazenamento de dados (o que fere o princípio da transparência); e o uso de informações sobre histórico de compras sem consentimento com a finalidade de elaborar perfis de consumo e direcionar publicidade, o que levantou o questionamento de monetização de dados pessoais sensíveis.

O processo da STIX foi arquivado porque não foram identificadas situações que possam acarretar risco ou dano aos titulares de dados pessoais. Isso porque a empresa afirmou não tratar dados pessoais sensíveis dos consumidores nesse contexto e que não compartilha detalhes sobre histórico de compras, mas somente informações relativas ao total de pontos acumulados ou resgatados em programas de fidelidade.

No caso da Febrafar, a Autoridade determinou a revisão das bases legais para o tratamento de dados, além da criação de medidas para facilitar o exercício dos direitos dos titulares em seu site e assegurar que suas associadas ofereçam um acesso facilitado aos titulares para que possam exercer seus direitos.

Para a RaiaDrogasil as medidas foram mais robustas, a ANPD definiu que a empresa terá que: (i) oferecer alternativas para a verificação de identidade que não envolvam a coleta de biometria, para diminuir a coleta desse dado, vez que é um dado pessoal sensível e deve ser coletado somente quando necessário; (ii) disponibilizar um canal no Portal da Privacidade para que os titulares de dados possam obter informações sobre o período de armazenamento dos dados pessoais tratados; (iii) submeter à ANPD os seguintes documentos: Política de Retenção de Dados Pessoais; Tabela de Temporalidade; e Política de Retenção e Descarte de Dados Pessoais; e (iv) fornecer informações detalhadas sobre o tratamento de dados pessoais sensíveis com o objetivo de criar perfis comportamentais, o compartilhamento de dados com a empresa RD Ads, e a monetização de dados através de seu envio a terceiros para fins de publicidade direcionada.

Além disso, em decorrência do processo de fiscalização, foi aberto processo sancionador em face da RaiaDrogasil, em vista de possíveis infrações à LGPD por conta do uso de dados sensíveis para criação de perfis de consumo a fim de realizar publicidade direcionada.

Vales destacar que um processo de fiscalização da Autoridade se inicia de diversas, tendo como elemento prévio ao início do processo a coleta de informações que pode ser realizada de quatro maneiras:

1. a) Tratamento de incidentes de segurança;
2. b) Análise de requerimentos: o que pode ocorrer através de uma petição de titular de dados, em que o próprio titular reclama diretamente à ANPD sobre o tratamento de seus dados por alguma entidade ou através de uma denúncia, que pode ser realizada tanto por pessoas físicas quanto jurídicas para comunicar uma suposta infração à LGPD;
3. c) Deliberações do Conselho Diretor da ANPD;
4. d) Monitoramentos realizados pela ANPD.

A partir da análise das informações coletadas através destas quatro formas, a Autoridade então passa a atuar através de processos de fiscalização, que visam prevenir atos que ferem a LGPD, apontando medidas de adequação, ou, instaura-se um procedimento repressivo por meio do processo administrativo sancionador.

Esse cenário reflete que nos últimos anos a Autoridade tem intensificado sua atuação através de processos administrativos, com forma de “fazer valer” o que está previsto na LGPD. Com isso, é importante que as empresas, mesmo aquelas em que o tratamento de dados pessoais não está no centro de seus negócios, se atentem a ter programas de privacidade sólidos e adequados ao contexto delas.