As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de junho/2021.


NOVIDADES INSTITUCIONAIS

 

Sanções administrativas da LGPD entram em vigor em agosto de 2021

Após mais de dois anos desde a sanção da LGPD, entram em vigor, a partir de 1º de agosto de 2021, as penalidades administrativas previstas nos artigos 52 a 54 na Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD entrou em vigor em 18 setembro de 2020 em virtude da supressão, durante votação da Medida Provisória nº 959/20 pelo Senado Federal em agosto de 2020, de dispositivo que previa o adiamento da lei para maio de 2021. Contudo, decidiu-se prorrogar a vigência das penalidades previstas na LGPD para o segundo semestre de 2021, conforme texto aprovado por ocasião da votação do PL nº 1179/20 (Lei nº 14.010/2020).

Isso significa, portanto, que a partir de 1º de agosto de 2021 a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas, que incluem advertências e multas de até 2% do faturamento, observando o limite de R$ 50 milhões por infração, às organizações que violarem as normas de proteção de dados pessoais, bem como determinar uma série de medidas como o bloqueio ou eliminação dos dados pessoais a que se refere a infração, a publicização da infração após devidamente apurada e confirmada a sua ocorrência, ou, em caso de reincidência, a suspensão ou proibição do exercício de atividades relacionadas ao tratamento irregular de dados.

 

ANPD institui Comitê de Governança

Foi publicada, no Diário Oficial da União, a Portaria nº 15/2021, que cria o Comitê de Governança da Autoridade Nacional de Proteção de Dados (ANPD), previsto nos artigos 15-A e 17 do Decreto nº 9.203/2017. O Comitê de Governança se reunirá mensalmente e será composto por plenário formado pelo Diretor-Presidente e Diretores do Conselho Diretor da Agência.

Além disso, o Comitê de Governança será responsável por orientar a alta administração na implementação e na manutenção de processos, estruturas e mecanismos adequados à incorporação dos princípios e das diretrizes da governança pública previstas no Decreto nº 9.203/2017, bem como exercer função de desenvolvimento institucional e de acompanhamento da implementação das medidas e das práticas organizacionais de governança definidos pelo Comitê Interministerial de Governança – CIG.

 


CASOS

 

Senacon multa instituições financeiras pelo uso indevido de dados pessoais de clientes

O Departamento de Proteção e Defesa do Consumidor (DPDC), da Secretaria Nacional do Consumidor (Senacon), determinou a aplicação de sanções administrativas no valor de R$ 9,6 milhões ao Banco Itaú Consignado S.A. e de R$ 4 milhões ao Banco Cetelem S.A., pela utilização indevida de dados pessoais de idosos. De acordo com a Senacon, as instituições financeiras teriam incorrido em práticas abusivas ao permitir que seus correspondentes bancários abordassem, via abordagens telefônicas, consumidores aposentados e pensionistas do Instituto Nacional do Seguro Social (INSS) para fins de oferta e concessão de empréstimos consignados.

No caso, os dados pessoais utilizados pelos correspondentes bancários da instituição financeira para oferecimento de empréstimo pessoal consignado teriam sido obtidos de forma alegadamente ilícita, sem o consentimento prévio dos titulares. Os processos administrativos foram instaurados após o recebimento de denúncias do Instituto de Defesa Coletiva e do Instituto Brasileiro de Defesa do Consumidor (Idec), por meio das Notas Técnicas nº 245/2019 e nº 248/2019.

 

TJDFT mantém a suspensão da comercialização de dados pessoais por ausência de consentimento

Em 24 de junho, o juiz substituto José Rodrigues Chaveiro Filho, da 5ª Vara Cível de Brasília, confirmou decisão liminar da 2ª Turma Cível do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) que determinou a suspensão da comercialização, pela Serasa Experian, dos dados pessoais de consumidores por meio dos produtos “Lista Online” e “Prospecção de Clientes”. A decisão deriva de ação civil pública ajuizada pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT.

O MPDFT verificou, por meio das investigações conduzidas pela Espec, que a Serasa comercializava uma série de dados pessoais – incluindo nomes, endereços, CPFs, números de telefones, localização, perfil financeiro, poder aquisitivo e classe social – através dos serviços “Lista Online” e “Prospecção de Clientes”. Os dados comercializados pertenciam a mais de 150 milhões de consumidores. Em sua petição inicial, o MPDFT destacou que o tratamento de dados pessoais realizado pela Serasa viola os direitos constitucionais à privacidade, à intimidade e à imagem dos titulares dos dados, bem como a Lei Geral de Proteção de Dados (LGPD), uma vez que a empresa não teria obtido o consentimento específico dos titulares para comercializar seus dados pessoais.

Em sua decisão, o magistrado entendeu que não haveria dúvidas quanto ao legítimo interesse da Serasa para o tratamento e comercialização de informações para fins de classificação de riscos. No entanto, o magistrado entendeu que, segundo a LGPD, o consentimento do titular seria “a regra maior a ser observada para o tratamento de dados pessoais”, sendo dispensável apenas em relação a dados tornados manifestamente públicos pelo titular. Nesse sentido, o juiz afirmou que “[…] para os dados não sensíveis, o controlador que, nos termos da lei, tenha interesse e legitimidade, deve, de igual forma, obter o consentimento, salvo a hipótese de dados tornados manifestamente públicos pelo titular.” Assim, o magistrado concluiu que, no presente caso, os dados comercializados pela Serasa não foram tornados manifestamente públicos, sendo, portanto, ilícita a comercialização de tais dados sem o consentimento claro e expresso dos titulares.

 

Tribunal francês condena Ikea e determina pena de prisão a executivo por vigilância ilegal de funcionários

A Confederação Geral do Trabalho (Force Ouvrière) anunciou, em 15 de junho, a imposição de multa, pelo Tribunal Penal de Versalhes, no valor de EUR 1 milhão (aproximadamente BRL 6 milhões) à filial francesa da Ikea pela coleta e armazenamento ilegais de dados pessoais pertencentes a funcionários da empresa. O ex-CEO da filial também foi condenado ao pagamento de multa no valor de EUR 50 mil (cerca de BRL 306 mil) e a dois anos de prisão por sua participação na conduta.

Segundo a Force Ouvrière, a Ikea teria implementado, entre 2009 e 2012, um sistema de vigilância em massa visando a coleta de diversos tipos de dados pessoais, incluindo registros de antecedentes criminais, informações sobre estilos de vida e avaliações de patrimônio de funcionários, representantes sindicais, candidatos em processos seletivos e, até mesmo, clientes insatisfeitos.

Além do pagamento de multa, a Ikea também deverá indenizar os indivíduos pelos danos sofridos em decorrência do tratamento ilegal de seus dados pessoais.

 

Procuradoria-Geral do estado do Colorado celebra acordo com empresa que administra estacionamentos para casas móveis

A procuradoria-geral do estado do Colorado anunciou, em 14 de junho, a celebração de um acordo com a Impact Mobile Home Communities, empresa responsável pela gestão de estacionamentos para residências móveis. O acordo decorre de incidente de segurança envolvendo dados pessoais sensíveis de mais de 15 mil indivíduos.

Em particular, o procurador-geral do Colorado verificou que, em outubro de 2018, um esquema de phishing foi utilizado para acessar as contas de e-mail de funcionários da Impact MHC onde eram armazenados dados pessoais de natureza sensível de clientes e demais funcionários da empresa. Nesse sentido, concluiu-se que a empresa não foi capaz de garantir a proteção adequada dos dados pessoais sensíveis tratados ao permitir que seus funcionários compartilhassem e armazenassem tais dados em suas contas de e-mail. O procurador-geral acrescentou, ainda, que a empresa, após identificar o vazamento de dados, levou dez meses para notificar os titulares afetados, embora a legislação estadual exija que um incidente de segurança envolvendo dados pessoais seja notificado em até 30 dias após a sua ocorrência.

O acordo determina o pagamento de USD 25 milhões a título de contribuição pecuniária, bem como de um adicional de USD 30 mil caso a empresa deixe de implementar as medidas corretivas acordadas, que incluem a elaboração (i) de uma política de eliminação de dados pessoais, (ii) de um programa de segurança cibernética abrangente e (iii) de um plano de reação a incidentes de segurança envolvendo dados pessoais.


Elaboração: Equipe de Proteção de Dados da AJDC

Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br