O instrumento é previsto na Resolução CD/ANPD nº 1/2021 e traz informações importantes, tanto para as empresas como para os titulares de dados pessoais, sobre as atividades realizadas em 2022. O principal intuito do Relatório é avaliar, prestar contas e planejar as atividades de fiscalização da Coordenação-Geral de Fiscalização da ANPD. Nesta edição, há detalhes dos requerimentos e comunicados de incidentes de segurança já recebidos, comentários sobre processos sancionadores e procedimentos de fiscalização já instaurados, bem como as propostas de ações para 2023.
Destaque para alguns indicadores que mostram como a LGPD vem produzindo seus efeitos:
- Aumento de 56% nos comunicados de incidentes de segurança, entre 2021 e 2022, totalizando 473 comunicados recebidos até dezembro de 2022;
- Recebimento de 1.045 Requerimentos (i.e., Denúncias de Violação à LGPD e Petições de Titulares), sendo que 12% desse total não se referiam à LGPD, e 10,6% não preencheram os requisitos de admissibilidade necessários;
- Os tipos de demandas mais trazidas nesses Requerimentos, com base nos relatos, versaram sobre “exposição de dados pessoais”, seguido de “dificuldade em exercer o direito de eliminação de dados”, “vazamento de dados” e “compartilhamento indevido de dados”;
- Nas Petições de Titulares, os setores mais presentes foram as plataformas digitais, seguidas do setor financeiro e, depois, de telecomunicações;
- Instauração de 15 processos de fiscalização e de 8 processos administrativos sancionadores. Desses 15 processos de fiscalização instaurados, 60% são relativos a órgãos públicos. Quanto aos processos sancionadores, 7 dos 8 foram oriundos de possíveis infrações detectadas em processos de comunicação de incidentes de segurança, e o principal tema em comum entre esses processos foi a ausência de comunicação a titulares sobre incidentes de segurança;
- Publicação de notas técnicas, cujo objetivo é educar a sociedade sobre os entendimentos da ANPD em certos temas.
Em relação às atividades realizadas frente aos comunicados de incidentes de segurança, o Relatório mostra que foi dada prioridade à análise dos incidentes com risco comprovado e que envolvessem um número alto de titulares de dados pessoais. Além disso, menos de 10% dos incidentes já comunicados tiveram suas análises finalizadas, pelas ANPD.
É importante ressaltar que, apesar de o projeto de regulamentação do procedimento de comunicação de incidentes de segurança ainda estar tramitando, a comunicação, a ANPD e aos titulares – nos casos em que houver risco ou dano relevantes a estes – tem comunicação obrigatória à Autoridade e titulares.
Os subsídios trazidos neste Relatório constituem importante material de estudo para as organizações que tratam dados pessoais, possibilitando entender questões importantes da aplicação da LGPD até o momento. Isso demostra a importância em, cada vez mais, as empresas manterem um robusto – e maduro – programa de governança em privacidade e proteção de dados pessoais.