Dentre as informações que podem ser coletadas por esses arquivos capazes de operacionalizar a coleta de dados, os chamados Cookies, há dados pessoais – daí surge a preocupação da ANPD com o tema. Esse tipo de arquivo pode ser utilizado para diversas finalidades, tais como lembrar opções feitas anteriormente por aquele usuário (e.g., senha ou login), medição de audiência de determinado site, entre outras coisas. Para criar essa “memória”, os cookies podem precisar armazenar dados pessoais – identificando pessoas físicas diretamente, ou cruzando dados, o que permite uma identificação indireta –, sendo isso justamente o que provoca a incidência da Lei Geral de Proteção de Dados.

Em seu Guia Orientativo, a ANPD trata do conceito de cookies, apresentando classificação de tipos distintos (e.g., cookies primários, cookies de terceiros, cookies necessários, cookies analíticos, de funcionalidade). Além disso, endereça os princípios aplicáveis ao tratamento feito por meio deles, quais sejam, os princípios da finalidade, necessidade e adequação e do livre acesso e da transparência, bem como detalha os direitos do titular aplicáveis quando da sua utilização e como garanti-los.

Ainda, o guia tem um tópico apenas para tratar das hipóteses legais potencialmente aplicáveis quando se utilizam cookies, sendo elas o consentimento e o legítimo interesse, detalhando as particularidades de cada umas dessas hipóteses nesse contexto.

A ANPD faz também orientações especificas sobre Políticas de Cookies, sugerindo que ela seja disponibilizada (i) como uma seção específica do Aviso de Privacidade; (ii) em um local específico e separado; ou (iii) no próprio banner de cookies, sempre respeitando a necessária transparência em relação ao tratamento de dados: “independentemente do mecanismo adotado, o importante é que sejam disponibilizadas informações claras, precisas e facilmente acessíveis sobre o uso de cookies e a coleta de dados pessoais”.

Especificamente sobre os banners de cookies, o guia os caracteriza como uma materialização de princípios e direitos previstos na LGPD, já que podem ser uma forma de efetivar direitos e princípios da lei. Determina assim, uma série de boas práticas relativas a esses banners, bem como lista práticas desaconselhadas.

Dentre as boas práticas, a ANPD sugere a descrição das categorias de cookies de acordo com seus usos e finalidades; a apresentação da descrição e informações simples, claras e precisas quanto a essas finalidades; a permissão da obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner, quando couber; e a desativação de cookies baseados no consentimento por padrão. Dentre as práticas desaconselhadas há dificultar o gerenciamento de cookies (e.g., não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas); apresentar informações sobre a política apenas em idioma estrangeiro; apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão podendo levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular; vincular o consentimento ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.

A Autoridade reforça que o Guia ficará aberto a comentários e contribuições da sociedade civil, que podem ser enviadas para a Ouvidoria da ANPD por meio da Plataforma Fala.BR. O Guia pode ser acessado na íntegra através desse link.

O conteúdo Autoridade Nacional de Proteção de Dados publica Guia Orientativo sobre Cookies aparece primeiro em Grinberg Cordovil Advogados.

Durante a fase 1, a ANPD publicou: seu Regimento Interno e planejamento estratégico; guias orientativos sobre a aplicação da LGPD por agentes de pequeno porte e resolução sobre o mesmo tema; resolução sobre o processo de fiscalização e do seu Processo Administrativo Sancionador, e disponibilizou formulário para notificação de incidentes de segurança com dados pessoais; e, por fim, discutiu o template para o Relatório de Impacto de Proteção de Dados (RIPD).

Atualmente, na fase 2, a ANPD já promoveu discussões sobre a regulamentação dos encarregados de dados pessoais e está em fase final de recebimento de subsídios sobre o tema da transferência internacional de dados.

Espera-se que, com a conclusão da fase 2, a autoridade avance para a última etapa, Fase 3, de regulamentação de sua Política Nacional de Proteção de Dados Pessoais e da Privacidade. Em que tratará de dois temas principais:

(i) Direitos dos titulares de dados pessoais; e

(ii) Hipóteses legais de tratamento de dados pessoais.

Esses temas são centrais para a atuação de agentes públicos e privados e para sua conformidade com a LGPD, sendo, portanto, bastante aguardados. Enquanto o primeiro tema será objeto de regulamentação, o segundo será endereçado por meio de guia orientativo, conforme prevê a agenda regulatória.

Vale ressaltar também que no dia 13 de junho foi editada Medida Provisória que transforma a ANPD em uma autarquia federal de natureza especial.

Com a alteração, a nova autarquia passa a ter personalidade jurídica e patrimônio próprios, deixando de ser um órgão vinculado ao poder executivo federal.

Com essa alteração espera-se que a atuação da autoridade seja conduzida com maior autonomia e capacidade de priorização.

O conteúdo ANPD – Agora Autarquia Federal avança no cumprimento de sua Agenda Regulatória aparece primeiro em Grinberg Cordovil Advogados.

Nos termos da representação, a ACELEN é acusada de comercializar Gasolina A e Diesel S10 por preços mais elevados no estado da Bahia, relativamente a outros estados para onde fornece volume menor e com custos logísticos maiores. Para sustentar as alegações, foram apresentadas tabelas de preços de todas as refinarias da Petrobrás e planilha de preços divulgada pela ACELEN em seu site, para fins de comparação de preços dos combustíveis comercializados. Desse modo, a representação defendia haver aumento arbitrário de lucros e abuso de posição dominante.

O PP havia sido arquivado originalmente por inexistência de indícios suficientes de configuração de infração à ordem econômica.

O Conselheiro Gustavo Augusto, ao tratar da avocação, afirmou haver de fato uma discrepância nos preços cobrados se comparada à atuação da nova refinaria e da Petrobrás, e que, preços mais altos do que o esperado podem ser indícios de uma infração à ordem econômica. Assim, seria preciso investigar a presença de 3 fatores:

1. Arbitrariedade no preço cobrado;
2. Poder de mercado; e
3. Ocorrência de algumas das condutas previstas na legislação antitruste.

Tendo em vista as condições fáticas, o Conselheiro Gustavo Augusto sugeriu a abertura de 2 inquéritos administrativos, sem prejuízo de a SG/Cade incluir outros representados nas investigações:

1. Para investigar a possível prática de discriminação de preços entre adquirentes de “Gasolina A” e “Diesel S10” produzidos na Refinaria Landulpho Alves (RLAM), também conhecida como Refinaria de Mataripe, aparentemente em desfavor dos adquirentes localizados no estado da Bahia; e
2. Para investigar a possível prática de discriminação de preços upstream, notadamente a investigação de se o preço do óleo cru praticado pela fornecedora da refinaria em questão (Petrobrás) é compatível com os preços de venda da commodity em tela para as refinarias da própria empresa, bem como se tal valor é compatível com a venda feita pela mesma empresa na exportação da referida commodity.

O Presidente Alexandre Cordeiro, em seu voto de homologação do pedido de avocação, reiterou os termos do voto do Conselheiro Gustavo Augusto, ressaltando que a investigação é relevante, pois trata de medida estrutural para tentar resolver gargalos do mercado, além de jogar luz sobre um eventual trabalho de advocacy necessário junto à regulação setorial. Além disso, ressalta ser necessário garantir um ambiente competitivo saudável no mercado upstream das refinarias para que haja aquisição de insumos, notadamente do óleo cru, e que o refino possa ser feito no Brasil em condições competitivas – sendo imprescindível ter opções para comprar o óleo cru; e que há discussão tributária relativa ao preço de referência da ANP. Ele afirma ser provável que haja dificuldade na aquisição de insumos em decorrência da maneira como o mercado está organizado e conclui destacando que a investigação pode ajudar a entender se há necessidade de um ajuste na regulação.

A avocação foi aprovada pelo Tribunal e o processo foi enviado à SG/Cade para instrução complementar. Os votos escritos ainda não foram disponibilizados.

O conteúdo Tribunal vota a abertura de novos inquéritos no setor de combustíveis aparece primeiro em Grinberg Cordovil Advogados.

A regulamentação garante a flexibilização de algumas obrigações da LGPD para os seguintes agentes:

• Microempresas e empresas de pequeno porte: de acordo com as definições do Código Civil e do Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte;
• Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação se caracterize pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que atendam aos requisitos previstos no Marco Legal das Startups;[1]
• Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, com faturamento máximo de R$4.8 milhões, conforme previsto no Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte.

Para esses agentes, o registro de operações de tratamento, bem como a comunicação de incidentes de segurança, serão feitos de forma simplificada a partir de modelo/procedimento disponibilizado pela própria ANPD. Além disso, diversos prazos de comunicação com titulares e com a ANPD serão contados de maneira estendida ou em dobro.

Ademais, os APPs não serão obrigados a indicar o encarregado de tratamento. Nada obstante, deverá manter canal de comunicação com o titular de dados e, caso opte por indicar um encarregado, isso será considerado política de boas práticas e governança, sendo tido em conta no momento da aplicação de eventuais sanções por descumprimento da LGPD.

Há também definições quanto aos critérios de segurança e boas práticas para os APPs, que devem adotar medidas mínimas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas políticas, no entanto, podem considerar os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente como fatores de simplificação e limitação.

Importante: as flexibilizações consideradas não se aplicam aos agentes que, mesmo se encaixando nas definições da regulamentação, realizem tratamentos definido como “de alto risco”, sendo estes: (i) os tratamentos em larga escala ou (ii) que possam afetar significativamente interesses e direitos fundamentais dos titulares. Em ambos os casos, estes tratamentos devem ser caracterizados pelos seguintes critérios específicos: a) uso de tecnologias emergentes ou inovadoras; b) uso de tecnologias de vigilância ou controle de espaços abertos ao público; c) que tomem decisões unicamente com base em tratamento automatizado de dados pessoais; ou d) utilização de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes e de idosos.

Vale ressaltar que não há uma definição quantitativa do que seria um tratamento em larga escala, ele é definido na regulamentação apenas como um tratamento que abrange número significativo de titulares, considerando-se também o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento. Já o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

[1] De acordo com o Marco Legal das Staturps (Lei Complementar nº 182/2021) são elegíveis para enquadramento nesta modalidade o empresário individual, empresa individual de responsabilidade limitada, sociedades empresárias, sociedades cooperativas e simples que atendam aos seguintes critérios: (i) receita bruta de até R$ 16 milhões de reais no ano calendário anterior, ou R$ 1,34 milhões multiplicados pelo número de meses no ano calendário anterior quando estiver ativa há menos de 12 meses; (ii) com até 10 anos de inscrição no CNPJ; e que (iii) atendam a um dos seguintes requisitos – a) declaração em seu ato constitutivo ou alterador a utilização de modelos de negócios inovadores para geração de produtos ou serviços, ou b) enquadramento no regime especial Inova Simples.

O conteúdo ANPD aprova regulamento da aplicação da LGPD para agentes de pequeno porte aparece primeiro em Grinberg Cordovil Advogados.

O marco normativo é bastante relevante e, principalmente, sinaliza aos agentes de mercado que a ANPD está funcionando e se organizando institucionalmente para exercer suas frentes de atuação fiscalizatória que contemplam as atividades de (i) monitoramento; (ii) de orientação; (iii) de prevenção e (iv) repressão.

Em que pese isso, ainda não estão fixadas orientações a respeito de dosimetria das sanções e cálculo do valor-base para aplicação de penalidades. Esse ponto deverá ser estabelecido ainda em norma específica posterior a ser publicada pela ANPD, sujeita a consulta pública prévia. Ainda, o novo regulamento resguardou a faculdade do Conselho Diretor da ANPD de editar Portaria a fim de estabelecer instruções complementares necessárias.

Assim, de modo geral, a nova resolução busca endereçar os deveres dos agentes regulados, bem como determinar disposições processuais referentes a intimação, prazo, comunicação e ciência dos atos administrativos da autoridade.

A regulamentação prevê ainda que a competência fiscalizatória da ANPD – que deve respeitar uma série de premissas previstas na própria regulamentação – poderá ser realizada: (i) de ofício; (ii) em decorrência de programas periódicos de fiscalização; (iii) de forma coordenada com órgãos e entidades públicas; ou (iv) em cooperação com autoridades de proteção de dados de outros países.

Em relação às frentes de atuação da ANPD no exercício dessa competência, dispõe que:

• A atividade de monitoramento se destina ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado. A Coordenação-Geral de Fiscalização do órgão, que tem suas competências definidas no Regulamento Internos da ANPD, realizará o monitoramento de atividades de tratamento para a partir de uma avaliação de conformidade dos agentes de tratamento, planejar e subsidiar a atuação fiscalizatória da autoridade. A atividade de monitoramento envolve também a produção de um relatório anual, bem como um mapa de temas prioritários bianual para consolidar informações de atividade bem como guiar a atuação futura da autoridade.
• A atividade de orientação caracteriza-se pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais. Constituem medidas de orientação, dentre outros produtos, guias de boas práticas, recomendações de padrões técnicos e modelos de documentos a serem utilizados pelos agentes de tratamento.
• A atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou danos aos titulares de dados pessoais e a outros agentes de tratamento. Nota-se que a as medidas aplicadas no contexto preventivo não constituem sanção ao agente regulado e podem englobar divulgação de informações, avisos, solicitação de regularização ou informe e até mesmo um plano de conformidade, que, em caso de descumprimento, ensejará a atuação repressiva da autoridade.
• A atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador. Na condução dos processos, a ANPD deverá obedecer dentre outros, aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência.

Sobre o processo administrativo no âmbito da ANPD propriamente dito, a resolução estabelece que o procedimento poderá ser instaurado de ofício ou diante de requerimento da Coordenação de Fiscalização ou em decorrência de processo de monitoramento. A Coordenação-Geral de Fiscalização poderá também, de ofício ou diante de requerimento, mediante procedimento preparatório, efetuar averiguações preliminares, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador. Concluída a fase de instrução do procedimento preparatório, a Coordenação-Geral de Fiscalização poderá arquivá-lo ou instaurar processo administrativo sancionador, sem prejuízo da adoção de medidas de orientação e prevenção, conforme o caso.

Após lavratura do auto de infração, o autuado poderá apresentar sua defesa, juntar as provas que julga necessárias, bem como apresentar alegações finais. Após a análise dos autos a Coordenação-Geral de Fiscalização emitirá decisão final, contra qual caberá recurso ao Conselho Diretor da ANPD.

Para garantir a referida atuação da ANPD, os agentes de tratamento têm por dever a fornecer informações e documentos, permitir o acesso da autoridade a instalações e equipamentos, se submeter a auditorias realizadas ou determinadas pela ANPD, bem como manter documentos físicos e digitais durante os prazos determinados legal ou administrativamente. Ademais, a Lei 9.874, que regula o Processo Administrativo tem aplicação subsidiária.

Nota-se, por fim, que Coordenação-Geral de Fiscalização poderá também receber propostas de termo de ajustamento de conduta, que terão o condão de suspender eventual processo administrativo em curso até o cumprimento integral do termo, quando o processo será arquivado.

A Resolução já está em vigor e pode ser acessada aqui. O primeiro ciclo de monitoramento terá início a partir de janeiro de 2002.

O conteúdo Processo de Fiscalização e Sancionador da ANPD recebe regulamentação pela Autoridade aparece primeiro em Grinberg Cordovil Advogados.

O novo manual de “Boas Práticas” foi editado visando auxiliar micro e pequenas empresas, bem como as autodeclaradas startups, a implementar procedimentos voltados à proteção de dados, mas de forma a mitigar eventual onerosidade pela conformidade.

Mesmo na ausência de um conceito definitivo (até o momento) do que seriam os “agentes de tratamento de pequeno porte”, o novo Guia da ANPD é útil para orientar qualquer agente que necessite aprimorar seus padrões de segurança da informação, apesar de limitações orçamentárias ou de pessoal em decorrência do seu porte.

Nesse sentido, o documento esclarece alguns temas, definições e obrigações centrais da Lei Geral de Proteção de Dados (LGPD)[1], além de sugerir medidas de segurança que podem ser tomadas por essas organizações na promoção de um ambiente institucional mais seguro quanto ao tratamento de dados pessoais. As sugestões não são exaustivas e podem (devem) ser complementadas por outras medidas que forem julgadas pertinentes. Elas compreendem, em síntese:

1. Segurança da informação: é recomendável, sempre que possível, estabelecer uma “política interna de segurança da informação”, com diretrizes sobre controles relacionados ao tratamento de dados pessoais (ex.: orientações sobre cópias de segurança; uso de senhas; acesso à informação; compartilhamento de dados; atualização de softwares; uso de correio eletrônico; uso de antivírus, entre outros). A política pode ser simplificada, mas é importante que haja revisão periódica.

2. Treinamentos de dados pessoais: o Guia recomenda a realização de treinamentos e campanhas de conscientização de todos os funcionários (especialmente aqueles diretamente envolvidos em processos de tratamento de dados). Informações úteis a serem compartilhadas nesses treinamentos podem ir desde formas de utilizar controles de segurança dos sistemas de TI a orientações de arquivamento de documentos físicos em gavetas, entre outras.

3. Criação de um ambiente organizacional que incentive usuários de sistemas da empresa (tanto clientes quanto funcionários) a informar incidentes e vulnerabilidades quando forem detectadas.

4. Gerenciamento de contratos: recomenda-se a assinatura de termos de confidencialidade (NDAs) por funcionários da empresa ou funcionários terceirizados, garantindo o compromisso de não divulgação de informações confidenciais que envolvam dados pessoais. No caso da contratação de terceiros, recomenda-se incluir nos próprios contratos cláusulas específicas sobre compartilhamentos de dados, relações entre controlador-operador, orientações sobre o tratamento específico a ser realizado e vedação de outros tratamentos incompatíveis com as orientações dadas.
5. Controle de acesso a dados: apenas pessoas autorizadas devem acessar os dados. O sistema de acesso deve contar com autenticação, que permita identificar e rastrear quem teve acesso ao dado, e autorizações para tratamentos específicos.

6. Segurança dos dados armazenados: (i) coletar e armazenar somente os dados estritamente necessários; (ii) garantir que dados pessoais sensíveis[2] sejam armazenados com soluções que dificultem identificação do titular (ex. utilização de criptografia); (iii) garantir que os dados sejam acessados apenas por meio de senha de uso individual, orientando os colaboradores sobre a importância desta medida de segurança; (iv) evitar transferência de dados por dispositivos físicos como pendrives ou HDs externos, entre outros; (v) realização de cópias de segurança dos dados regularmente e armazenamento das cópias em dispositivos diferentes daqueles que fazem o armazenamento principal (se armazenadas em nuvem, é importante que não haja sincronização em tempo real); e (vi) para eliminação dos dados armazenados em mídias, sugere formatação antes do descarte e, se possível, destruição física da mídia (o que também se aplica para dados em papéis). Havendo contrato com terceiros para descarte, recomenda estabelecimento de cláusula de registro da destruição realizada.

7. Garantir a segurança das comunicações de dados entre clientes e colaboradores (e entre colaboradores entre si): utilização de conexões cifradas ou aplicativos com criptografia, se possível, e gerenciamento do tráfego da rede, além de assegurar remoção de dados pessoais desnecessariamente disponibilizados em redes públicas.

8. Manter um programa de gerenciamento de vulnerabilidades: atualização e varreduras constantes dos sistemas, aplicativos e softwares utilizados.

9. Controlar acesso de dados por dispositivos móveis (como smartphones e laptops) utilizados para fins institucionais: colaboradores, sempre que possível, devem ter dispositivo exclusivo para fins profissionais. Ainda, como dispositivos móveis estão mais sujeitos a perdas ou roubos, sugere-se avaliar a implementação de funcionalidades que permitam apagar remotamente os dados pessoais armazenados nesses dispositivos.

10. Avaliação dos serviços oferecidos por provedores de armazenamento em nuvem: verificar se atendem o nível de proteção exigido para o tratamento de dados que se pretende fazer. Além disso, os usuários do serviço devem ser instruídos sobre esses requisitos e sobre a utilização de técnicas de autenticação multi fator (ex.: tolkens ou envio de código por SMS) para acesso ao dataroom.

Para facilitar a verificação de implementação dessas medidas, a ANPD disponibilizou junto com o Guia de boas práticas uma checklist para uso interno dessas organizações.

O Guia faz parte da chamada regulamentação diferenciada da aplicação da LGPD que reconhece que agentes menores podem enfrentar maiores dificuldades orçamentárias ou de pessoal para a implementação dessas normas.

O debate sobre as regras para micro e pequenas e empresa e startups tem sido considerado prioritário. Se por um lado se entende que a adequação à LGPD pode representar um ônus para esses empreendimentos, por outro, dispensas ou simplificações podem gerar maior insegurança e reduzir o volume de negócios.

Seguindo a Agenda Regulatória 2021-2022 da ANPD, uma nova resolução, implementando este tratamento diferenciado às micro e pequenas empresas e às autodeclaradas startups, está em processo de avaliação de impacto regulatório. A minuta já foi discutida em duas sessões de Audiência Pública (ocorridas em 14/09 e 15/09) e, no momento, está disponível para comentários em Consulta Pública . Contribuições serão aceitas até o dia 14/10, por meio de plataforma própria.

[1] Lei n.º 13.709/2018, em vigor desde setembro de 2020.

[2] Lembrando que nos termos do art. 5º, II da LGPD são considerados dados sensíveis aqueles que podem ser utilizados para fins discriminatórios, sendo eles os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O conteúdo ANPD disponibiliza “Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte” aparece primeiro em Grinberg Cordovil Advogados.

Essa é a primeira investigação da autoridade de condutas relacionadas ao mercado de trabalho, tema que vem ganhando destaque em investigações nos Estados Unidos (inclusive na publicação de Guia sobre o assunto em 2016) e em roundtable da OCDE em 2020 (Competition issues in labour markets).

O conteúdo Cade investiga se troca de informações de RH é uma infração concorrencial aparece primeiro em Grinberg Cordovil Advogados.

Conforme a Nota Técnica de tomada de subsídio no tema, a ANPD entende ser importante que “em conjunto com a sociedade, a ANPD construa limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daqueles cuja ameaça, se houver, pode ser desconsiderada”, para definir com clareza os aspectos trazidos no caput, e no parágrafo 2º do artigo 48 da LGPD, bem como uma regulamentação exata sobre o prazo a ser adotado, que pode ou não se basear em experiências internacionais.

Nesse sentido, a autoridade abre tomada de subsídio no tema, com perguntas versando sobre, por exemplo, critérios para avaliação de risco ou dano relevante pela ANPD; distinção entre risco ou dano; considerações que devem ser feitas na avaliação de risco ou dano; informações que os controladores devem apresentar à ANPD e aos titulares; definição do prazo razoável para informar tanto a ANPD quanto os titulares; e possíveis exceções quanto à obrigatoriedade de informar a ANPD e os titulares.

O conteúdo ANPD inicia processo de regulamentação sobre incidentes de segurança com tomada de subsídios aparece primeiro em Grinberg Cordovil Advogados.

Contextualização:  Em 2015, a CNIL ordenou ao Google que expandisse as desindexações referentes à implementação do direito ao esquecimento para todos os domínios dos seu mecanismo de busca. Com essa decisão, um pedido de desindexação fundado no direito ao esquecimento pleiteado perante o google.fr teria efeitos em diversos países do mundo. O não cumprimento da referida deliberação por parte da empresa gerou uma multa no valor de 100.000 euros. Diante disso, a companhia recorreu ao Tribunal Administrativo Francês (Conseil d’État) pleiteando a anulação da referida deliberação. Em sua defesa, o Google argumentou que, ao impor que a desindexação se aplicasse a todos os domínios do mecanismo de busca, a União Europeia (UE) estaria violando o princípio da não interferência, bem como os princípios da liberdade de expressão, de informação, de comunicação e de imprensa de maneira desproporcional. Tendo em vista que o tema suscitou questões delicadas, o Conseil d´État decidiu submeter a problemática ao Tribunal de Justiça da União Europeia.

Decisão da Corte: Para sanar a controvérsia, a Corte decidiu que os direitos relativos à proteção e à livre circulação de dados pessoais devem ser interpretados no sentido de que, quando uma empresa operadora de mecanismo de busca aceita um pedido de desindexação, não tem de efetuar essa supressão de referências em todas as suas versões, devendo fazê‑la apenas naquelas versões correspondentes aos estados-membros da União Europeia. Além disso, a decisão aborda a necessidade da conjugação da desindexação com medidas que evitem que os usuários localizados na UE tenham acesso aos resultados desindexados por meio de versões dos mecanismos de busca de outros países.

O conteúdo Corte Europeia impõe limites do Direito ao Esquecimento aparece primeiro em Grinberg Cordovil Advogados.