A Autoridade Nacional de Proteção de Dados (ANPD), entidade governamental vinculada ao Ministério da Justiça, iniciou um ciclo de fiscalização focado na ausência de um Encarregado pelo Tratamento de Dados Pessoais (também conhecido em inglês como Data Protection Officer – DPO), uma exigência do Artigo 41 da Lei Geral de Proteção de Dados Pessoais (LGPD) para grande parte das empresas. Ao todo, 20 grandes empresas de setores variados, incluindo tecnologia, educação, saúde, e telecomunicações, estão sendo monitoradas e notificadas. Essa fiscalização reforça a seriedade da conformidade com a LGPD, trazendo à tona riscos e responsabilidades que muitas organizações ainda negligenciam.
Empresas fiscalizadas pela ANPD
De acordo com as notícias oficiais da própria ANPD, disponíveis AQUI, entre as empresas que estão no centro desta fiscalização, destacam-se:
- TikTok (Bytedance Brasil Tecnologia Ltda.)
- Dell Computadores do Brasil Ltda.
- Vivo (Telefônica Brasil S.A.)
- Telegram Messenger Inc.
- Uber do Brasil Tecnologia Ltda.
- Cacau Show (Indústria Brasileira de Alimentos e Chocolates)
- Serasa S.A.
- BlueFit Academias de Ginástica e Participações S.A.
- Hurb Technologies S.A.
- Open English (Open Education LLC)
- Quinto Andar (GRPQA Ltda.)
- Jequiti Cosméticos (SS Comércio de Cosméticos e Produtos de Higiene Pessoal Ltda.)
- Tinder (Parperfeito Comunicação S.A.)
- Eventim Brasil São Paulo Sistemas e Serviços de Ingressos Ltda.
- Latam Airlines Group S.A.
- Clínica Vamos Sorrir (Escritório Administrativo Clínicas Inteligentes Ltda.)
- UniNassau (Ser Educacional S.A.)
- Saúde Total Cartão de Benefícios Ltda.
- Equatorial Goiás Distribuidora de Energia Elétrica S.A.
- X Corp. (Twitter Brasil Internet Ltda.)
Essa lista reflete a diversidade das organizações notificadas, deixando claro que nenhum setor está imune à fiscalização, tanto empresas grandes como as pequenas que apresentam um considerável risco, estão sendo fiscalizadas. A ausência de um DPO e de um canal funcional de comunicação representa uma violação direta da LGPD, expondo as empresas à diversas possíveis sanções, entre elas, multas de até R$ 50 milhões, bloqueio de operações e prejuízos reputacionais.
Por que sua empresa deve nomear um DPO?
O Encarregado/DPO não é apenas um requisito legal, mas um profissional essencial para o sucesso e a segurança das operações de qualquer organização. Ele tem o papel de:
- Facilitar a comunicação entre titulares, empresa e ANPD;
- Contribuir para que a empresa esteja em conformidade com a LGPD;
- Orientar a organização contra riscos de vazamentos de dados e falhas operacionais por meio de práticas de proteção de dados.
- Responder rapidamente a solicitações de titulares, como acesso, correção ou exclusão de dados;
- Atuar preventivamente para reduzir o impacto de incidentes de segurança e fiscalizações.
- Integrar equipes especializadas, a exemplo de Grupos de Resposta e Tratamento a Incidentes de Segurança da Informação, e poderá, ainda, nesse caso, orientar e auxiliar essas equipes acerca do registro e da comunicação de um incidente de segurança envolvendo dados pessoais.
- Vale destacar que as empresas são obrigadas a publicarem o nome e informações de contato do seu DPO/Encarregado responsável, preferencialmente no site da empresa, de modo que fique acessível para seus clientes e funcionários terem ciência. (Art. 41, § 1º, LGPD).
- Em relação à capacidade técnica necessária para o desempenho das atribuições de encarregado, além do conhecimento sobre a legislação de proteção de dados pessoais, e sobre as normas e demais publicações da ANPD, conhecimentos multidisciplinares sobre gestão de riscos, gestão de dados e governança, compliance e auditoria, e segurança da informação podem ser de grande valia para o exercício de suas atividades. Além disso, o conhecimento acerca das principais atividades desenvolvidas na organização (core business) pode se revelar importante para que o encarregado possa melhor orientar o agente de tratamento quanto às práticas necessárias à proteção dos dados pessoais, visando à sua conformidade com a LGPD e com as orientações da ANPD (ANPD, 2024).
Para empresas, negligenciar a nomeação de um DPO e a criação de canais de atendimento eficazes significa estar vulnerável a penalidades severas. Além das multas milionárias, as empresas podem sofrer com danos à reputação, perda de clientes e até interrupção de suas atividades.
Riscos adicionais: ataques cibernéticos
Além da fiscalização da ANPD, empresas que negligenciam a proteção de dados pessoais se tornam alvos fáceis para ataques hackers. O Brasil já figura entre os países com maior número de incidentes cibernéticos, e muitos destes ocorrem devido a falhas básicas, como a falta de governança em privacidade de dados. O DPO também auxilia no fortalecimento das políticas de segurança, prevenindo vazamentos e invasões por meio de orientações precisas sobre as medidas técnicas e administrativas para a proteção de dados pessoais tanto no ambiente físico, como computacional da empresa.
Consequências da não conformidade
As sanções previstas no Artigo 52 da LGPD são severas e incluem:
- Multas de até R$ 50 milhões por infração.
- Advertências públicas e bloqueio de dados pessoais.
- Danos irreversíveis à imagem da empresa.
Mais do que penalidades financeiras, a ausência de um DPO deixa a empresa vulnerável em casos de vazamentos de dados e ações judiciais. Afinal, um canal de comunicação eficiente poderia evitar situações críticas ao resolver solicitações antes de uma denúncia.
Nomear um DPO: o primeiro passo para a conformidade
Se sua empresa ainda não possui um Encarregado/DPO, esta deve ser a primeira ação na jornada de adequação à LGPD. A presença deste profissional garante o alinhamento com as exigências legais, além de demonstrar compromisso com a transparência e a proteção dos dados dos seus clientes.
Como encontrar profissionais de privacidade em seu estado?
A APDADOS – Associação Nacional dos Profissionais de Privacidade de Dados – reúne especialistas capacitados para ajudar empresas na adequação à LGPD fornecendo as orientações necessária para o correto tratamento de dados.
Acesse o diretório de membros da APDADOS em:
Oportunidade:
Se a sua empresa já possui profissionais de tecnologia da informação, direito digital, ou você, que também é interessado por esse tema e busca se especializar em LGPD, também pode fazer parte da APDADOS.org e estar entre o seleto rol de especialistas em privacidade de dados do Brasil. Solicite a sua avaliação curricular em https://apdados.org/cadastro.
A hora de agir é agora! Não espere sua empresa estar na mira da fiscalização para tomar medidas. A LGPD já é uma realidade, e ter um DPO pode ser o diferencial entre estar protegido ou enfrentar prejuízos milionários.
Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.
jovem pan