20. Como a Autoridade Nacional de Proteção de Dados (ANPD) atua em relação à LGPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar e aplicar a LGPD no Brasil. Suas principais funções incluem:

• Receber denúncias e reclamações dos titulares de dados pessoais;
• Realizar investigações e fiscalizações para verificar o cumprimento da LGPD;
• Aplicar sanções em caso de descumprimento da LGPD;
• Emitir orientações e diretrizes sobre a interpretação e aplicação da LGPD;
• Celebrar acordos de cooperação técnica com outros órgãos ou entidades públicas ou privadas.

A atuação da ANPD é importante para garantir a proteção dos dados pessoais dos cidadãos brasileiros e para incentivar as empresas a adotarem boas práticas de privacidade e segurança de dados.

Os titulares dos dados podem exercer seus direitos previstos pela LGPD por meio de solicitações por escrito ou por meio de canais eletrônicos disponibilizados pelas empresas. As empresas têm o prazo de 15 dias para responder às solicitações dos titulares dos dados.

O Encarregado de Proteção de Dados (DPO) é essencial para a implementação efetiva e eficiente das práticas de privacidade de dados nas organizações. Suas principais funções incluem: orientar a empresa sobre as melhores práticas de privacidade, implementar e monitorar políticas de privacidade, aconselhar os titulares dos dados, facilitar a comunicação com autoridades reguladoras e realizar auditorias internas para garantir a conformidade com a LGPD.

A responsabilidade pelo cumprimento da LGPD é do controlador de dados, ou seja, da pessoa física ou jurídica que define as finalidades, meios e formas de tratamento dos dados pessoais.

O controlador deve garantir que as atividades de tratamento de dados sejam realizadas em conformidade com a LGPD e deve implementar medidas de segurança e privacidade para proteger os dados pessoais contra vazamentos, acessos não autorizados e perda de informações.

Além disso, a LGPD prevê a figura do Encarregado de Proteção de Dados (DPO – Data Protection Officer), que é responsável por orientar a implementação das medidas de proteção de dados pessoais. O DPO deve ser indicado pelo controlador de dados e é um canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Para se adequar à LGPD, as empresas precisam seguir algumas etapas importantes:

• Nomeação de um Encarregado de Proteção de Dados (DPO): indicar um profissional responsável por orientar e fiscalizar a implementação e cumprimento das medidas de proteção de dados.
• Criação de políticas e procedimentos: estabelecer políticas e procedimentos internos para garantir a conformidade com a LGPD.
• Treinamento e conscientização: capacitar funcionários e colaboradores sobre a importância da proteção de dados pessoais e os procedimentos internos.
• Mapeamento dos dados pessoais: identificar quais dados pessoais estão sendo coletados, armazenados, processados, compartilhados, entre outros.
• Análise de riscos: avaliar os riscos e impactos do tratamento de dados pessoais para os titulares dos dados e a empresa.
• Implementação de medidas de segurança: implementar medidas de segurança técnicas e organizacionais para proteger os dados pessoais contra vazamentos, acessos não autorizados, perda de informações, entre outros.
• Revisão e monitoramento constante: revisar e monitorar regularmente as medidas de proteção de dados pessoais, a fim de garantir a efetividade e conformidade com a LGPD.

Vale ressaltar que as empresas devem adotar uma abordagem proativa para a conformidade com a LGPD e investir em soluções tecnológicas e serviços de consultoria para garantir a implementação adequada das medidas de proteção de dados.

A Lei Geral de Proteção de Dados (LGPD) prevê sanções administrativas e civis para as empresas que descumprirem as obrigações estabelecidas pela lei em relação à proteção de dados pessoais.

As sanções administrativas podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) e incluem:

• Advertência, que é uma notificação formal para que a empresa se adeque à LGPD;
• Multa simples, que pode chegar a até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração;
• Multa diária, que pode ser aplicada caso a empresa não cumpra uma determinação da ANPD;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência e gravidade;
• Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração por até 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além das sanções administrativas, a LGPD também prevê a possibilidade de responsabilização civil da empresa, com direito a indenização aos titulares de dados que sofrerem prejuízos em decorrência do tratamento inadequado de seus dados pessoais.

De acordo com a Lei Geral de Proteção de Dados (LGPD), em caso de vazamento de dados pessoais, a empresa deve comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados, indicando as medidas que foram ou serão adotadas para mitigar os efeitos do incidente.

Além disso, a empresa também deve adotar medidas para minimizar os danos causados aos titulares dos dados, bem como investigar as causas do vazamento e adotar medidas para prevenir que o incidente se repita no futuro.

Um vazamento de dados ocorre quando informações confidenciais são divulgadas ou acessadas sem autorização, seja por meio de ataques cibernéticos, erros humanos ou outras formas de acesso não autorizado. Essas informações podem incluir dados pessoais, como nomes, endereços, números de documentos, dados bancários, senhas, entre outros.

Os vazamentos de dados são considerados um grave problema de segurança, pois podem levar a sérios danos e impactos negativos para as empresas e para os titulares dos dados afetados. Os titulares dos dados podem ter suas informações usadas de forma indevida, como para fraudes ou golpes, enquanto as empresas podem sofrer prejuízos financeiros e de reputação.

As empresas devem adotar medidas de segurança e privacidade para proteger os dados pessoais dos titulares contra vazamentos, acessos não autorizados e perda de informações. Para isso, é necessário implementar medidas técnicas e organizacionais adequadas, que levem em consideração a natureza, a sensibilidade e o volume dos dados pessoais coletados e tratados pela empresa. Algumas medidas que as empresas podem adotar para proteger os dados pessoais dos titulares são:

• Criptografia dos dados pessoais em trânsito e em repouso;

• Implementação de sistemas de controle de acesso e autenticação forte; • Monitoramento e detecção de atividades suspeitas em relação aos dados pessoais;

• Realização de backups e armazenamento seguro dos dados pessoais;

• Estabelecimento de políticas de privacidade e de segurança da informação;

• Capacitação dos colaboradores em relação às políticas de privacidade e de segurança da informação;

• Realização de auditorias e avaliações de segurança e privacidade.

Além disso, as empresas devem informar aos titulares dos dados sobre as medidas de segurança adotadas para proteger os seus dados e garantir que as informações coletadas sejam usadas apenas para os fins legítimos. A implementação de medidas de segurança e privacidade é fundamental para garantir a confiança dos titulares de dados e evitar penalidades previstas pela LGPD.

O titular dos dados possui direitos previstos na LGPD. Estes consistem em:

• Direito a informação da existência dos dados

• Direito de acesso aos dados

• Direito de informação sobre o compartilhamento

• Direito de solicitar comprovação do consentimento

• Direito de reavaliação de decisão automatizada

• Direito de corrigir e atualizar suas informações

• Direito de anonimização, bloqueio ou eliminação

• Direito de portabilidade

• Direito de ser informado sobre consequências negativas do não consentimento

• Direito de revogar o consentimento

• Direito de ter seus dados eliminados após término do contrato

• Direito de informação sobre transferência internacional