Um Olhar Retrospectivo Sobre a ANPD e a Proteção de Dados no Brasil em 2024

O ano de 2024 representou um período de grande amadurecimento institucional e regulatório para a Autoridade Nacional de Proteção de Dados (ANPD). Em um cenário marcado por avanços tecnológicos acelerados e discussões aprofundadas sobre privacidade, a ANPD exerceu seu papel como peça central no fortalecimento do sistema brasileiro de proteção de dados pessoais. A Autoridade buscou alinhar as exigências da Lei Geral de Proteção de Dados (LGPD) às melhores referências internacionais.

Neste documento, exploramos os desdobramentos da atuação da ANPD em 2024, apresentando os principais marcos regulatórios e temas de maior relevância. Entre eles, destacam-se o aprofundamento das discussões sobre inteligência artificial, com o avanço do projeto de regulamentação de inteligência artificial (IA) no congresso nacional, e o nascimento das regulamentações que tratam de transferências internacionais de dados, comunicação de incidentes de segurança e a figura do encarregado de dados.

Além de regular questões técnicas e complexas, a ANPD também reforçou sua função fiscalizatória, promovendo uma postura mais ativa em casos de descumprimento das disposições legais.

O relatório dedica atenção ao papel pedagógico da ANPD, ao longo de 2024, na conscientização e orientação de agentes de tratamento e titulares de dados. Por meio de guias, resoluções e consultas públicas, a entidade consolidou um modelo de governança que busca não apenas punir falhas, mas incentivar boas práticas e prevenir incidentes.

Este relatório será dividido em três partes:

(i) Tópicos relevantes
(ii) Análise dos processos sancionadores
(iii) Previsões para 2025

I. Tópicos relevantes

Comunicação de Incidentes de Segurança

Na primeira Resolução normativa do ano (Resolução CD/ANPD nº15/2024), a ANPD aprovou o regulamento de comunicação de incidentes de segurança envolvendo dados pessoais. A norma estabelece obrigações para as empresas e organizações que tratam dados pessoais em caso de vazamentos ou acessos não autorizados. De acordo com o regulamento, a comunicação desses incidentes deve ocorrer de forma detalhada e em até três dias úteis após a confirmação do evento, podendo ser prorrogada por até vinte dias, caso necessário.

O regulamento determina que a comunicação seja feita tanto à ANPD quanto aos titulares dos dados afetados, caso o incidente represente dano ou risco relevante para os titulares. A nova regulamentação supriu a lacuna técnica da definição do gatilho de comunicação. Para que esteja presente o “dano ou risco relevante”, ambas as condições precisam estar presentes

(1) A possibilidade de afetar significativamente os interesses e os direitos fundamentais do titular dos dados, nos casos em que a atividade de tratamento possa impedir o exercício de direitos ou o uso de um serviço, bem como causar danos materiais ou morais aos titulares dos dados, como discriminação, violação da integridade física, do direito à imagem e à reputação, fraude financeira ou roubo de identidade; e

(2) Pelo menos um dos seguintes critérios:

i. Dados Pessoais Sensíveis;
ii. Dados pessoais de Menores (-18) ou Idosos (60+);
iii. Dados Financeiros;
iv. Dados de Autenticação de Sistemas;
v. Dados protegidos por sigilo legal, judicial ou profissional;
vi. Dados em larga escala.

Para as notificações aos titulares, a comunicação pode ser feita de forma individualizada ou, se não for possível, por meio de canais amplos, como publicações em websites e outros meios de comum acesso. Além disso, as empresas devem manter registros de todos os incidentes, comunicados ou não, por um período mínimo de cinco anos, para possibilitar a fiscalização e auditoria da ANPD. Os Controladores também deverão adotar medidas de mitigação de riscos, como a avaliação do impacto do incidente e a implementação de ações corretivas.

Para mais informações, acesse nosso Legal Update aqui.

Encarregado de Dados

Outro tema regulatório que ganhou corpo em 2024 foi a definição de disposições em volta do encarregado de dados. A ANPD publicou novas diretrizes sobre os critérios, meios e papel do encarregado pelo tratamento de dados pessoais no Brasil (Resolução CD/ANPD nº 18/2024), estabelecendo um regulamento mais específico para a função. O encarregado é essencial na governança de privacidade, atuando como ponto de contato entre a organização, os titulares dos dados e a ANPD.

A nomeação de um encarregado é obrigatória para o controlador, enquanto o operador pode nomeá-lo de forma facultativa, o que pode influenciar na aplicação de sanções.

O encarregado pode ser uma pessoa física ou jurídica e deve ser capaz de se comunicar em português. Não há requisitos específicos de qualificação, mas a organização deve garantir que o encarregado possua conhecimento adequado da legislação e da complexidade das atividades de tratamento. O regulamento permite que o encarregado acumule funções em diferentes empresas, desde que não haja conflito de interesses. Caso surja tal conflito, a organização deve tomar medidas para evitá-lo.

Cabe ao encarregado:

Atender solicitações externas: receber as comunicações dos titulares e da ANPD. Coordenar e auxiliar internamente as áreas necessárias para solucioná-las.

Assistência e governança de dados: auxiliar na elaboração, definição e implementação de registros, relatórios, mecanismos de supervisão, medidas de segurança, processos e políticas internas, instrumentos contratuais, transferências internacionais de dados, regras de boas práticas e governança, e outros aspectos estratégicos referentes ao tratamento de dados pessoais.

A norma garante margem de discricionariedade ao agente de tratamento para estipular atribuições adicionais e abre ainda a porta para futura norma complementar sobre o tema.

O agente de tratamento deve fornecer os recursos necessários para garantir a autonomia na execução de suas responsabilidades sem interferências. O regulamento também prevê que a identidade do encarregado seja divulgada de forma clara, com os meios de contato acessíveis.

O regulamento também reforça a responsabilidade do agente de tratamento em garantir que o encarregado tenha autonomia e acesso direto aos responsáveis pelas decisões estratégicas da organização. Além disso, ele deve ser consultado em atividades relacionadas ao tratamento de dados pessoais, assegurando que todos os aspectos de conformidade com a LGPD sejam atendidos adequadamente. 

Em guia posterior sobre o tema, a ANPD apresentou diversos exemplos práticos sobre a aplicação da resolução, além de modelos-padrão de nomeação de encarregado de dados.  

No final de dezembro, foi anunciada a abertura de processo de fiscalização contra vinte empresas de grande porte que não indicaram de maneira satisfatória o contado do Encarregado de dados. Dentre as fiscalizadas, há gigantes de Telecom, Tech e até do ramo fitness.

Para mais informações, acesse nosso Legal Update aqui.

Transferência Internacional de Dados

A ANPD publicou a Resolução CD/ANPD nº 19/2024, estabelecendo as diretrizes para transferências internacionais de dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD). Ela regulamenta alguns dos mecanismos necessários para a transferência de dados para o exterior, incluindo decisões de adequação, cláusulas contratuais específicas, cláusulas-padrão e normas corporativas globais.

Foi dado o prazo de doze meses para que os agentes de tratamento incorporem as disposições da resolução, com a data limite sendo 23 de agosto de 2025. O regulamento caracteriza como transferência internacional:

• Transferências (transmissão, compartilhamento ou concessão de acesso) de dados pessoais a partir do Brasil para o exterior;

• Transferências ocorridas diretamente no exterior, entre um ou mais países, quando: (i) a atividade de tratamento tiver por objetivo a oferta ou o fornecimento de bens ou serviços no Brasil; (ii) a atividade de tratamento tiver por objetivo o tratamento de dados de indivíduos localizados no Brasil; ou (iii) os dados pessoais forem coletados em território brasileiro.

Os mecanismos previstos para a conformidade incluem a possibilidade de decisões de adequação, que reconheçam a equivalência das leis de proteção de dados de outros países com a LGPD brasileira, dispensando cláusulas adicionais. No entanto, até o momento, não houve reconhecimento formal de qualquer país como adequado. Países integrantes da União Europeia, Argentina e Uruguai são aguardados para serem reconhecidos devido à forte relação comercial e diplomática com o Brasil.

O regulamento exige que as cláusulas-padrão contratuais sejam adotadas integralmente, podendo ser personalizadas, estritamente onde indicado, em contratos de transferência internacional de dados, garantindo que as condições de proteção sejam mantidas independentemente de fronteiras legais.

Visto o caráter inerentemente internacional desse tipo de operação a ANPD apresentou também a resolução, junto das cláusulas-padrão, em inglês.
Para mais informações, acesse nosso Legal Update aqui.

Legítimo Interesse

A ANPD escolheu começar seus esforços de desenvolvimento e detalhamento das diferentes bases legais previstas na LGPD pelo legítimo interesse. Essa decisão reflete a relevância e a ampla adoção dessa base legal pelos agentes de tratamento de dados, especialmente devido à sua flexibilidade. O legítimo interesse é frequentemente utilizado porque permite uma aplicação mais contextual e adaptável às necessidades específicas de cada situação, desde que os princípios da lei sejam respeitados

O Guia Orientativo “Hipóteses Legais do tratamento de dados pessoais - Legítimo Interesse" enfatiza que o legítimo interesse não se aplica ao tratamento de dados pessoais sensíveis. Portanto, os controladores devem identificar se o interesse que fundamenta a atividade de tratamento é próprio ou de terceiros, garantindo que seja legítimo, específico e explícito. Além disso, é imprescindível avaliar se os direitos e liberdades fundamentais dos titulares prevalecem sobre os interesses do controlador ou de terceiros, realizando uma avaliação de riscos e implementando salvaguardas adequadas para mitigar possíveis impactos

Para auxiliar os controladores, a ANPD apresenta um modelo de teste de balanceamento que envolve três etapas: (i) análise da finalidade do tratamento e da legitimidade do interesse; (ii) avaliação da necessidade do tratamento para alcançar a finalidade pretendida; e (iii) balanceamento entre os interesses do controlador ou de terceiros e os direitos e liberdades fundamentais dos titulares.

Inteligência Artificial (IA)

O ano foi especialmente movimentado para a ANPD no campo da IA. Com o crescimento exponencial da visibilidade e relevância do tema, a ANPD se mobilizou para atuar em diversas frentes, buscando acompanhar os avanços tecnológicos e suas implicações para a privacidade e proteção de dados

• Após fornecer subsídios técnicos desde 2023 para consolidação do texto legal do Projeto de Lei de regulamentação da Inteligência Artificial (2338/2023), a ANPD foi eleita na última versão aprovada pelo senado como órgão regulatório central no Sistema Nacional de Regulação e Governança de Inteligência Artificial. Caso a minuta atual se confirme no congresso, a Autarquia encabeçará os esforços regulatórios, junto das autoridades setorizadas, para definir padrões gerais de IA no Brasil.

• A Autarquia entrou em rota de colisão com dois gigantes da tecnologia sobre a utilização de perfis brasileiros em redes sociais para treinamento de inteligência artificial. Ambas foram chamadas a prestar esclarecimentos sobre os detalhes desse tratamento de dados e foram obrigadas a adequá-lo à LGPD.

• Ela lançou o terceiro volume da série "Radar Tecnológico", focado na IA Generativa. O documento apresenta uma análise técnica abrangente sobre os fundamentos da IA generativa, explorando conceitos como raspagem de dados da web (data scraping), geração de conteúdos sintéticos e práticas de compartilhamento de dados pessoais em sistemas de IA generativa. Essas práticas são avaliadas em relação aos princípios da LGPD, incluindo transparência e necessidade, oferecendo uma visão preliminar sobre os desafios regulatórios nesse campo emergente.

• Promoveu-se também a abertura da tomada de subsídios sobre Inteligência Artificial, no intuito de abrir a especialistas a possibilidade de compartilharem informações técnicas, estudos de caso e sua experiência profissional para influenciar futuras normativas sobre o tema. O processo deseja também levantar os potenciais riscos associados ao uso da tecnologia e decisões automatizadas.

II. Análise dos processos sancionadores

Sanções da ANPD em 2024: continuidade, destaques e lições para os Agentes de Tratamento

O ano de 2024 manteve um ritmo semelhante ao de 2023 no que diz respeito à aplicação de sanções pela ANPD. Houve apenas um leve aumento no número de processos sancionadores impostos: cinco em 2024, em comparação com quatro no ano anterior. Esse incremento modesto reflete um padrão contínuo de autuações, predominantemente direcionadas a órgãos públicos.

Essa característica influenciou diretamente a natureza das penalidades aplicadas. Mesmo diante do reconhecimento da gravidade de alguns incidentes de vazamento de dados, não foram impostas multas pecuniárias. Isso se deve à disposição da LGPD, que estabelece que instituições públicas estão isentas desse tipo de penalidade financeira.

Ao analisar os incidentes reportados, dois aspectos têm se destacado de forma recorrente como foco das ações da ANPD:

1. Falta de Cooperação dos Agentes de Tratamento: a resistência ou ausência de colaboração por parte dos agentes de tratamento no atendimento às demandas da ANPD durante os processos de fiscalização tem sido um ponto crítico. Essa postura compromete a eficiência da apuração e a implementação de medidas corretivas adequadas.
2. Deficiência na Comunicação com os Titulares dos Dados: a inadequação ou inexistência de uma comunicação clara, individualizada e tempestiva com os titulares de dados afetados pelos incidentes foi outro problema frequentemente identificado. A ANPD enfatiza a importância de utilizar meios apropriados e acessíveis para informar os titulares, sempre que possível, sobre a ocorrência de violações que os impactem diretamente.

Sanções e Lições Aprendidas

A seguir, apresenta-se o compilado das sanções aplicadas em 2024, destacando as principais lições para os agentes de tratamento de dados.

Caso 1: Instituto Nacional do Seguro Social (INSS)

Incidente:

Um incidente de segurança expôs dados pessoais sensíveis de beneficiários e segurados do INSS. Foram identificadas mais de 90 milhões de consultas ao Sistema Corporativo de Benefícios (SISBEN) e 9 milhões ao Sistema Único de Benefícios (DATAPREV), realizadas sem justificativa operacional. A falha envolveu o uso de credenciais válidas por meio de convênio entre o INSS e a Advocacia Geral da União (AGU).

Irregularidades Identificadas:

1. Falta de comunicação do incidente aos titulares:
• Descumprimento do art. 48 da LGPD, que exige a comunicação de incidentes que possam acarretar riscos ou danos relevantes.

2. Não atendimento às determinações da ANPD:
• Violação do art. 32, §2º, da Resolução CD/ANPD nº 1/2021, com descumprimento reincidente da ordem de comunicação de incidente de segurança aos titulares.

Sanções Aplicadas:

1. Publicização da Infração:
• Obrigação de publicar comunicado disponível no site do INSS, acessível por sessenta dias a partir da decisão.
• Notificação direcionada a todos os usuários do aplicativo “Meu INSS”.

Observações:

• A ANPD destacou a gravidade do incidente devido à elevada quantidade de dados pessoais sensíveis envolvidos, que poderiam expor titulares a fraudes e roubo de identidade.
• Apesar de solicitações reiteradas, o INSS resistiu a realizar a comunicação a todos os titulares afetados, alegando inviabilidade técnica de levantamento dos nomes dos afetados e desproporcionalidade da comunicação universal.
• A decisão reforça a necessidade de realizar a comunicação aos titulares no prazo legal e de obedecer às determinações prévias da ANPD.

Caso 2: Secretaria de Estado de Educação do Distrito Federal (SEEDF)

Incidente:

Um incidente de segurança no sistema de inscrições do Programa Educação Precoce, desenvolvido com a ferramenta Google Forms, expôs dados pessoais e sensíveis de 3.030 crianças e adolescentes. Os dados incluíam CPF, nome, diagnósticos médicos, contatos e informações de responsáveis, estando publicamente acessíveis devido a uma configuração inadequada no sistema.

Irregularidades Identificadas:

1. Ausência de registro das operações de tratamento de dados pessoais (ROPA):
• A SEEDF não manteve um registro atualizado das operações de tratamento, descumprindo o art. 37 da LGPD.
2. Falta de Relatório de Impacto à Proteção de Dados (RIPD):
• O documento solicitado pela ANPD não foi apresentado, caracterizando infração ao art. 38 da LGPD.
3. Comunicação tardia do incidente aos titulares:
• A comunicação individualizada aos titulares afetados foi realizada somente oito meses após o incidente, descumprindo o art. 48 da LGPD.
4. Descumprimento de determinações da ANPD:
• A SEEDF não forneceu informações e documentos requisitados no prazo estabelecido, infringindo o art. 5º do Regulamento de Fiscalização.

Sanções Aplicadas:

1. Advertências:
• Quatro advertências foram emitidas pelas infrações aos arts. 37, 38, 48 e da LGPD e ao art. 5º do Regulamento de Fiscalização.

Observações:

• Embora medidas corretivas tenham sido implementadas após o incidente, como a suspensão do uso do Google Forms, a ausência de ações de governança prévia contribuiu para a aplicação das sanções.
• A ANPD reconheceu que o vazamento ocorreu não por erro do sistema, mas por imperícia técnica de seu utilizador. Ainda, absolveu a Secretaria.
• Ao mesmo tempo que a ANPD reforçou o registro de operações de tratamento como uma obrigação vigente e autônoma, ela estabeleceu que o RIPD, apesar de boa prática, ganha o caráter de obrigação após sua solicitação.
• A decisão enfatizou a importância de conformidade contínua com a LGPD, especialmente no tratamento de dados de crianças e adolescentes.

Caso 3: Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas (SAS) - Pernambuco

Incidente:

Uma falha operacional no sistema da Secretaria resultou na exposição de dados pessoais e sensíveis de 413 titulares cadastrados no Programa “PE Livre Acesso Intermunicipal”, destinado à concessão de gratuidade no transporte público intermunicipal para pessoas com deficiência. Os dados, que incluíam informações como tipo de deficiência, documentos pessoais e dados de saúde, ficaram acessíveis publicamente em uma planilha hospedada no site da Secretaria.

Irregularidades Identificadas:

1. Não comunicação individual aos titulares:
• O incidente de segurança não foi comunicado de maneira individualizada aos titulares afetados, descumprindo o Art. 48 da LGPD. A Secretaria alegou incapacidade técnica de proceder com a comunicação individual e limitou-se a publicar uma nota de esclarecimento em seu site.
2. Uso de sistemas inadequados:
• Os sistemas utilizados não atendiam aos requisitos de segurança e aos padrões de boas práticas e governança, visto o risco inerente do tratamento dos dados sensíveis vazados, infringindo o Art. 49 da LGPD.

Sanções Aplicadas:

1. Advertências:
• Duas advertências por descumprimento dos arts. 48 e 49 da LGPD.
2. Medidas corretivas:
• Envio de comunicação direta e individualizada aos 413 titulares afetados, contendo informações detalhadas sobre o incidente e medidas tomadas.
• Atualização da nota de esclarecimento no site da Secretaria, com inclusão de dados atualizados e manutenção por um período de 90 dias.
• Comprovação da implementação de medidas técnicas e administrativas na estrutura do sistema para garantir sua segurança.

Observações:

• O incidente gerou risco de discriminação, violação à privacidade e fraudes, especialmente considerando o uso de dados sensíveis e informações de crianças e adolescentes.
• A ANPD destacou a ausência de processos internos e medidas preventivas eficazes, como a falta de relatório de impacto e monitoramento adequado dos sistemas. O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), inclusive, foi solicitado pela autarquia mas não foi entregue pela sancionada.

Caso 4: Ministério da Saúde (MS)

Incidente:

Um incidente de segurança no Sistema de Cadastro e Permissão de Acesso (SCPA) expôs dados pessoais de milhões de brasileiros. A vulnerabilidade permitia a consulta pública de informações relacionadas ao Cadastro de Pessoa Física (CPF) e outros dados sensíveis, como nome, endereço e dados de saúde, por meio de uma API sem autenticação.

Irregularidades Identificadas:

1. Falta de comunicação tempestiva aos titulares:
• A comunicação do incidente foi realizada com atraso significativo e de maneira deficitária, descumprindo os prazos e critérios definidos pela ANPD, em violação ao art. 48 da LGPD.
2. Uso de sistema inadequado:
• O sistema SCPA não atendia aos requisitos de segurança, padrões de boas práticas e governança, infringindo o art. 49 da LGPD.
3. Falta de monitoramento adequado:
• Ausência de mecanismos para identificar e prevenir acessos indevidos, evidenciando falhas na governança de dados.

Sanções Aplicadas:

1. Advertências:
• Duas advertências por descumprimento dos arts. 48 e 49 da LGPD.
2. Medidas corretivas:
• Comunicação adequada aos titulares afetados, incluindo informações sobre o incidente e medidas de mitigação adotadas.
• Implementação de melhorias nos sistemas de segurança e governança para prevenir novos incidentes.

Observações:

• A ANPD destacou a gravidade do incidente, considerando o número elevado de titulares potencialmente afetados e a natureza sensível dos dados expostos.
• Apesar da comunicação tardia e da ausência inicial de medidas adequadas, o Ministério da Saúde apresentou esforços para corrigir a vulnerabilidade e implementar melhorias na segurança dos sistemas.
• A Autarquia determinou a impossibilidade de afastar as sanções pela postura falha do autuado em colaborar com a Autoridade.
• Negou ainda a possibilidade de afastar a sanção pelos efeitos reputacionais negativos ao órgão.
• A decisão enfatiza a necessidade de conformidade contínua com a LGPD e a adoção de mecanismos proativos para proteger os dados pessoais dos cidadãos.

Caso 5: Ministério da Saúde (MS)

Incidente:

Um incidente de segurança resultou na indisponibilidade de diversos sistemas essenciais do Ministério da Saúde, incluindo ConecteSUS, Notifica, SIPNI e RNDS, que contêm dados sensíveis de milhões de brasileiros. A investigação apontou que o incidente foi causado por um ataque cibernético que explorou credenciais válidas para excluir ativos da infraestrutura em nuvem.

Irregularidades Identificadas:

1. Falta de designação de Encarregado pelo Tratamento de Dados Pessoais:
• Não havia encarregado nomeado à época do incidente, descumprindo o art. 23, III, da LGPD.
2. Ausência de Relatório de Impacto à Proteção de Dados (RIPD):
• O documento solicitado pela ANPD não foi apresentado adequadamente, em violação ao art. 38 da LGPD.

Sanções Aplicadas:

1. Advertências:
• Duas advertências por infrações aos arts. 23, III e 38 da LGPD.
2. Medidas corretivas:
• Apresentação de Relatório de Impacto à Proteção de Dados (RIPD) referente às operações de tratamento de dados.
• Nomeação formal de um Encarregado pelo Tratamento de Dados Pessoais, com publicação em local acessível ao público.

Observações:

• Embora a comunicação inicial tenha ocorrido de forma ampla, a ausência de processos internos claros e de um encarregado dificultou a resposta eficiente ao incidente.
• A Autoridade reforçou que o conceito de incidente de segurança engloba não apenas vazamentos. A perda dos dados causou a indisponibilidade de diversos serviços essenciais à população, tendo o potencial de acarretar risco ou dano relevante aos titulares.
• A ANPD reconheceu medidas implementadas após o incidente, como a criação de um programa de privacidade e a designação do encarregado, mas considerou as infrações graves diante da magnitude do impacto nos sistemas e dados tratados.

III. Previsões para 2025

“Tela de Cristal”: O que esperar da ANPD em 2025?

Tópicos prioritários para 2025

A partir da análise da Agenda Regulatória 2025-2026 e do Mapa de Temas Prioritários da Autoridade, os seguintes tópicos estão no topo da discussão e deverão ser alvo de novas regulamentações, guias e fiscalizações direcionadas:

• Direitos dos titulares; 
• Relatório de Impacto à Proteção de Dados Pessoais;
• Tratamento de dados pessoais de criança e adolescente;
• Inteligência Artificial;
• Biometria;
• Raspagem de dados e agregadores de dados.

Reforço nas iniciativas envolvendo Inteligência Artificial

As expectativas são altas para a aprovação do projeto de lei que regulamenta a inteligência artificial no Brasil ainda em 2025. Salvo mudança substantiva de seu conteúdo, a lei apontará a ANPD como coordenadora do SIA e ponto nevrálgico para estabelecer as bases de sua regulamentação geral. 

Aumento do número de processos fiscalizatórios e sancionadores

O segundo semestre de 2024 foi um marco no esforço fiscalizatório da ANPD. Nesse intervalo, mais processos fiscalizatórios foram abertos do que a soma de todo o período anterior. Isso indica um aquecimento nas atividades de fiscalização da Autoridade que culminará, consequentemente, num número maior de sanções a entes públicos e, principalmente, privados.