Fiscalizar e apurar a conduta de empresas em casos de comprometimento de dados pessoais, como vazamentos de informações ou ataques hackers, é uma das principais funções da Autoridade Nacional de Proteção de Dados (ANPD).

Em outubro, um caso considerado "extraordinário" pela própria entidade levou à abertura de um número inédito de fiscalizações, mais do que o apurado em quatro anos de existência da autarquia.

Nas duas primeiras semanas de outubro, a ANPD deu início a 21 processos de apuração de incidentes de segurança, que se somaram a outros dez procedimentos abertos desde janeiro deste ano.

Ao todo, são 31 abertos em 2024. No ano passado inteiro, em comparação, apenas uma apuração foi instaurada. Entre 2021 e 2023, foram apenas 15 procedimentos ao todo, metade do número registrado nos últimos dez meses.

A intensificação da atuação, que chamou a atenção de escritórios de advocacia que lidam com a Lei Geral de Proteção de Dados (LGPD), chegou a levantar especulações se a autoridade iria endurecer sua atuação fiscalizatória daqui para frente, algo que não deve acontecer, segundo a própria ANPD.

O caso também levanta discussões sobre as limitações que a autoridade de dados enfrenta.

Quase todos os processos de investigação de incidentes são mantidos sob sigilo, com poucas exceções. No portal da ANPD, é possível, em alguns casos, identificar quem são os investigados.

A onda mais recente de apuração envolve empresas do setor de saúde, como Unimed Sorocaba, Unimed Franca, Hospital Infantil Sabará e MV Saúde Digital. Desde janeiro, também foram abertos dois processos que têm a Caixa Econômica Federal como foco e um com incidentes envolvendo o INSS.

O evento que acelerou o ritmo de processos instaurados foi uma denúncia de incidente com uma empresa de softwares no setor de saúde, que atingiu quatorze clientes. A autarquia, no entanto, não dá detalhes da ocorrência por "impedimentos legais" e porque "não comenta incidentes que não sejam públicos".

— Não é porque a gente é mal ou não gosta de compartilhar, é que se a gente começa a abrir (as informações), nenhuma empresa vai mais nos notificar sobre incidentes — justifica Fabricio Guimarães Madruga Lopes, coordenador-geral de Fiscalização da autoridade de dados. — Preferimos ser mais restritos e receber mais comunicados (espontâneos das empresas) do que adotar uma lógica de transparência que pudesse inibir o número de notificações.

Em operação desde novembro de 2020, quando teve os primeiros diretores indicados, a ANPD foi constituída para regulamentar e fiscalizar a aplicação da LGPD.

Desde 2021, recebeu mais de 1.063 comunicados de incidentes de segurança, que são enviados pelas próprias instituições ou empresas quando sofrem vazamentos, ataques cibernéticos ou outros tipos de falhas que comprometem a integridade, confidencialidade ou disponibilidade dos dados pessoais.

Em quatro anos, uma empresa multada
O recebimento dessas comunicações é fundamental para atuação da autoridade, que tem uma abordagem regulatória "responsiva", ou seja, que age em resposta a comunicações feitas por empresas ou denúncias de incidentes.

Cabe à autarquia avaliar o risco ou dano aos titulares de dados em cada caso para então determinar se é necessária a abertura de um processo sancionador, que pode gerar multa.

Quando a ANPD descobre por outros meios um incidente sobre o qual não foi comunicada pelas empresas, é então aberta a apuração de incidentes de segurança, como no caso do último mês. Com os novos procedimentos, a autarquia soma 46 investigações desse tipo desde que foi criada.

Lopes defende que a abordagem tem sido eficaz, já que a maioria das empresas que comunica incidentes à ANPD segue as orientações da autoridade, o que evita a necessidade de processos sancionadores.

No caso de processos que apuram conformidade da LGPD, a entidade soma um total de 17 processos em andamento. Meta e X, por exemplo, são investigadas pelo uso de dados em treinamentos de IA, enquanto bancos como Itaú, Santander e Bradesco enfrentam apurações relacionadas a dados para empréstimos consignados.

Em quase quatro anos de atuação, no entanto, apenas uma empresa foi multada por violação à lei de dados, em um caso distante das big techs ou de grandes bancos. O alvo foi uma microempresa de telecomunicações chamada Telekall Infoservice. A sanção aconteceu em 2023, com uma multa de R$ 14,4 mil.

Apenas 20 pessoas para investigar
A advogada especialista em direito digital Nuria López, cofundadora da Technoethics e sócia da Daniel Advogados, avalia que a atuação da ANPD ainda é marcada por uma abordagem mais orientativa do que punitiva, especialmente quando comparada à realidade europeia, cuja legislação de proteção de dados inspirou a LGPD.

— Na Europa, as multas foram aplicadas com muito mais facilidade, diferente do que aconteceu no Brasil. Quando a ANPD se constituiu, muita gente imaginou que eles iriam começar pelas grandes empresas, mas não foi essa a postura. Nesses primeiros anos, ela parece ter um caráter mais orientativo do que pouco punitivo — diz López, que levantou as informações sobre a evolução de processos de abertura de incidentes feitos pela ANPD e mapeou as apurações a pedido do Globo.

Um dos problemas para a aplicação de sanções pela ANPD eram as lacunas normativas, ressalta Bruno Bioni, fundador e diretor da Data Privacy Brasil. Só no ano passado, por exemplo, a autarquia definiu como seria a dosimetria das sanções, ou seja, o critério utilizado para calcular o valor e a gravidade das penalidades aplicadas, lembra ele.

— Você precisa ter essas normas para que, durante esses processos de investigação e sanção, as regras estejam previamente estabelecidas, de forma a evitar uma discricionariedade do órgão regulador — diz Bioni, que ressalta que, apesar de ter quatro anos, a ANPD só se tornou uma autarquia em 2022, quando obteve uma independência técnico administrativa maior, como Anatel e a Anvisa.

Apesar de normativas mais claras e de um mês com mais abertura de processos do que aconteceu em todo o tempo de atuação da ANPD, a própria autarquia não indica que irá intensificar suas atividades fiscalizatórias proativas - ao menos enquanto seguir com a estrutura atual.

— Não dá para dizer (a partir dos casos de outubro) que a ANPD vai mudar sua prática e passar a fazer isso de maneira contínua — afirma o coordenador-geral de fiscalização da autoridade. — Eu hoje trabalho com 20 pessoas (na equipe de fiscalização), que cuidam de requerimento, denúncia, mapeamento, incidente de segurança e fiscalizações em si. Para a ANPD atender tudo o que o Brasil precisa, teríamos de ter mais gente. Eu diria que estamos no auge da nossa capacidade produtiva.

Atuação "efetiva"
Atualmente, a ANPD tem apenas um processo sancionador em andamento na primeira instância da Justiça, além de outros dois na segunda instância, de acordo com Lopes. Todos os casos envolvem empresas públicas, que não podem ser multadas.

A estrutura atual da autarquia, incluindo terceirizados, é de 180 pessoas. O coordenador espera que a autarquia ainda atinja uma estrutura robusta o suficiente para que possa "ir atrás" dos incidentes, e não apenas "esperar até que seja procurada".

Para Lucas Belli, professor da FGV Direito Rio e coordenador do Centro de Tecnologia e Sociedade da FGV. enquanto não houver um redimensionamento da estrutura e recursos para a ANPD, vai ser difícil ver uma atuação “efetiva”:

— Parece extremamente difícil que eles possam cumprir com o leque enorme de tarefas que têm com os recursos hoje disponíveis. Mas poderiam ser mais proativos e mais contundentes, para que haja a preocupação de que, em caso de descumprimento, as empresas vão ser punidas.

Em nota, a Unimed em Franca afirmou que não recebeu notificação da ANPD, enquanto a unidade da cooperativa em Sorocaba informou que prestou os esclarecimentos à autarquia. Segundo o Hospital Infantil Sabará, a vulnerabilidade aconteceu em um software de um terceiro, e não gerou vazamento de dados.

A MV Saúde Digital, que fornece serviços de tecnologia, explicou que houve um incidente de segurança em um de seus programas, mas reforçou que não houve acesso às informações. O INSS destacou que está recorrendo à medida sancionatória aplicada pela autoridade de dados.

Veja também

Dólar

Dólar ultrapassa R$ 5,70 e fecha no maior valor em quase três meses

meio ambiente

G20 reafirma seu compromisso de abandonar os combustíveis fósseis

ENERGIA

Aneel define bandeira amarela para novembro, e contas de luz terão alívio em novembro

Apple

Apple volta ao top 5 no mercado de smartphones da China

comércio

Ministra francesa considera "muito hipotética" assinatura de acordo UE-Mercosul durante G20