Finalmente foi publicada, pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados, a esperada decisão que analisou o recurso apresentado pelo INSS no Processo Administrativo Sancionador, no qual, o Coordenador-Geral de Fiscalização, identificou indícios de descumprimento à Lei Geral de Proteção de Dados Pessoais e aplicou a sanção de publicização da infração. A referida decisão é importante e chama a atenção dos estudiosos e interessados pelo tema, pois, ao que se tem conhecimento, é a primeira decisão administrativa sobre o tema LGPD no Brasil.

O Processo Administrativo Sancionador foi aberto contra o INSS pois foram identificados descumprimentos ao artigo 48 da LGPD, sendo agravado pela previsão que consta no artigo 32, §2º, II da Resolução CD/ANPD n.º 1/2021. Em apertada síntese, a ANPD detectou que foram vazados dados pessoais dos titulares e condenou a autarquia a publicar em seu site comunicado dando ciência aos titulares de forma universal sobre o referido vazamento vez que, diante do número elevado de titulares atingidos, seria impossível a comunicação individual.

O recurso, por sua vez, rebateu a decisão aplicada sustentando, em uma das preliminares, que as intimações oficiais expedidas a partir do Processo Administrativo Sancionador devem ser direcionados ao representante oficial da empresa, nos termos do artigo 75 do CPC, e não ao Encarregado de Dados Pessoais (como ocorreu no caso concreto), o que não foi acolhida. Foi esclarecido que o Encarregado é, de fato, o responsável por atuar como canal de comunicação entre o agente de tratamento, os titulares e a ANPD, inclusive no que tange aos processos administrativos nos termos do artigo 41 da LGPD.

No mérito, o recurso destacou que o INSS, após a ocorrência do incidente, adotou medidas de mitigação dos efeitos adversos, o que torna a decisão de publicização desproporcional, desarrazoada e contrária ao interesse público. O argumento não foi acolhido, sob a tese de que as medidas de segurança pelo titular devem ser propostas e fomentadas durante todo o tratamento dos dados pessoais, e não somente após um incidente. Concluiu, portanto, o órgão julgador, que o próprio vazamento dos dados comprova o descuido por parte da autarquia.

No mesmo sentido, a decisão destacou que a boa-fé do infrator e a pronta adoção de medidas corretivas, após o incidente, são apenas alguns parâmetros que devem ser considerados no momento de decidir. Há outros, no entanto, como a gravidade, a natureza das infrações, os direitos pessoais afetados, cooperação do infrator e a pronta adoção de medidas corretivas. Diz, portanto, que a dosimetria valorou todos os elementos no momento de decidir, o que torna a penalidade aplicada coerente com o ato cometido pelo INSS.

Em outro trecho importante da decisão é apontado que a gravidade da infração leva em consideração o desconhecimento dos titulares dos dados pessoais sobre o vazamento ocorrido, inclusive de dados pessoais sensíveis, tornando-os ainda mais vulneráveis às fraudes e assédios por meio de crimes cibernéticos, o que fere gravemente o princípio da transparência previsto no artigo 6º, inciso VI, da LGPD.

Os julgadores também deram importante destaque ao fato de que há sérios indícios de que o vazamento tenha ocorrido por negligência do INSS, na figura do controlador, portanto.

Por fim, a decisão também rejeito a irresignação recursal com relação à definição do conteúdo a ser publicizado pelo INSS em seu site. O recurso aponta que a definição pelo que deveria ser publicado transbordou os limites da ordem jurídica, criando metodologia de sancionamento com contornos próprios. Por sua vez, os julgadores referiram que o artigo 20 da Resolução CD/ANPD n.º 4/2023 é expresso ao referir que a sanção de publicização deverá indicar o teor, o meio, a duração e o prazo para o seu cumprimento.

A breve análise feita acima que destacou os pontos mais relevantes da discussão, e que não teve a pretensão de esgotar toda a matéria, buscou demonstrar que, de fato, a ANDP torna-se cada vez mais atuante na fiscalização das regras previstas na LGPD, sendo firme nas decisões em caso de descumprimento. A manutenção da decisão de sanção de publicização da infração contra o INSS, sem dúvidas, é oportuna e simbólica para demonstrar a importância que está sendo dada à matéria no País.

Felipe Robleski

Membro do Comitê de LGPD