Apesar de ainda sob análise do Senado a Medida Provisória nº 1.182/2023, o Ministério da Fazenda publicou, em 27 de outubro de 2023, a Portaria nº 1.330, fixando regras complementares e antecipando parte da regulamentação para empresas que desejam operar no mercado de apostas de quota fixa, conhecidas como “bets“. A regulamentação tem como enfoque assegurar a proteção dos consumidores, garantir os direitos fundamentais, promover a segurança dos dados e incentivar o jogo responsável.

A Portaria previu a possibilidade de empresas demonstrarem seu interesse antecipadamente, o que lhes garantiria prioridade na ulterior análise dos pedidos de autorização para explorar comercialmente as apostas de quota fixa. A autorização de pessoas jurídicas para exploração comercial da modalidade lotérica denominada aposta de quota fixa deverá ser antecedida de: habilitação jurídica; regularidade fiscal e trabalhista; qualificação econômico-financeira; e qualificação técnica.

A área técnica competente do Ministério da Fazenda expedirá regulamentação específica contendo os requisitos, as condições e os procedimentos para obtenção da outorga desta autorização, ficando reafirmada a necessidade de manutenção de call centers pelas casas de aposta para atendimento aos apostadores.

A regulamentação estabelece que atletas profissionais, membros de comissões técnicas, árbitros ou dirigentes de equipes esportivas brasileiras não poderão receber autorizações. No entanto, empresas estrangeiras terão a possibilidade de explorar as apostas de quota fixa mediante a criação de subsidiárias no Brasil sem limitações de origem.

A proteção de dados e a prevenção de práticas ilegais, como a lavagem de dinheiro, foram ressaltadas como prioridades fundamentais. Os operadores terão a obrigação de obter permissão expressa para utilizar dados pessoais dos usuários nos moldes da LGPD, garantindo a confiabilidade do sistema.

A Portaria enfatiza, ainda, a importância do jogo responsável, com medidas para prevenir o vício em jogos e o endividamento dos apostadores. Proíbe-se apostas para menores de 18 anos e torna-se obrigatória a identificação dos apostadores, com a implementação de mecanismos de controle pessoal. O operador de apostas deverá dispor de mecanismos e sistemas internos de controle que permitam ao apostador estabelecer: limite diário de tempo de jogo ou aposta; limite máximo de perda; período de pausa; e autoexclusão.

A entrada imediata em vigor desta Portaria reflete a urgência percebida pelo Ministério da Fazenda em regulamentar adequadamente o mercado de apostas de quota fixa, garantindo um ambiente seguro e transparente para todos os envolvidos. Entretanto, para a plena eficácia do novo modelo regulatório, espera-se ainda a conversão em lei da Medida Provisória nº 1.182/2023 e regulamentação complementar

Em outubro, somando-se à primeira sanção emitida em julho deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) já aplicou, conforme publicações de 06/10/2023 e 18/10/2023, duas novas sanções /administrativas e, desta vez, os sancionados foram dois órgãos públicos.

No primeiro caso de julho desse ano, a sanção de multa e advertência deu-se em face de microempresa que atua no setor privado como provedora de serviços que teria ofertado aos candidatos às eleições municipais uma listagem de contatos de eleitores para fins de disseminação de material de campanha eleitoral. De forma geral, a Autoridade apontou naquela oportunidade que os seguintes dispositivos da LGPD foram violados:

Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais;

Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais;

Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento;

Art. 41 – falta de comprovação da indicação do encarregado.

No novo caso publicado em 06/10/2023, a penalidade foi aplicada em face de uma autarquia pública do Estado de São Paulo que trata dados de mais de 1,2 milhões de pessoas e seus dependentes. O procedimento foi instaurado em março de 2022, a partir de uma denúncia sobre uma falha de segurança que permitia acessar dados pessoais de servidores públicos como CPF, nome, RG, endereço, telefone, salário, bem como imagens de documentos com foto e comprovante de residência. Os dispositivos violados segundo entendimento da ANPD foram:

Art. 48 – trata das hipóteses nas quais o agente de tratamento deve comunicar à ANPD e aos titulares acerca da ocorrência de incidente de segurança; e

Art. 49 – trata da obrigação dos agentes de tratamento quanto à adoção de medidas de segurança eficazes no tratamento de dados pessoais.

Pela violação ao art. 48 da LGPD, além da advertência, a autarquia deverá ajustar o Comunicado aos titulares já existente em seu website, com uma redação sugerida pela própria ANPD, pelo prazo mínimo de 90 dias corridos e, pela violação ao art. 49, além da advertência, foi determinada a elaboração de um cronograma para implementação de medidas que tornem os sistemas de armazenamento e tratamento de dados pessoais menos vulneráveis a incidentes de segurança.

No novo caso publicado em 18/10/2023, a penalidade foi aplicada em face de órgão do Estado de Santa Catarina. Além dos Artigos 48 e 49, segundo entendimento da ANPD também foram violados o Artigo 38 da LGPD, que dispõe sobre a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), e o Art. 5º, I do Regulamento de Fiscalização relativo aos deveres dos agentes, sobretudo no que tange ao fornecimento de cópias de documentos e informações relevantes para a avaliação das atividades de tratamento de dados pessoais.

Neste último caso, o objeto do incidente teria sido a exfiltração (cópia ou transferência não autorizada) de parte da base de dados do órgão que estava armazenada em um servidor sem mecanismo de controle de acesso aos usuários. Em razão disso, a base de dados teria sido disponibilizada publicamente e cerca de 48 mil titulares foram afetados.

Em resposta às violações, a ANPD aplicou quatro sanções de advertência, uma para cada infração. O órgão terá, ainda, que manter um comunicado geral de incidente de segurança (CIS) em seu website na Internet por 90 dias e informar cada um titular identificado como vítima do incidente.

Embora as infrações constatadas tenham natureza grave pela possibilidade de afetarem os interesses e direitos fundamentais dos titulares e por envolverem tratamento de dados em larga escala, as penas aplicadas foram apenas de advertência com determinação de medidas corretivas. Isso só ocorreu porque de acordo com o artigo 52, § 3º, da LGPD e o artigo 3º, §5º, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, fica afastada a aplicação de multa simples e multa diária para entidades e órgãos públicos.

Na última semana, EUA e União Europeia finalmente fecharam um novo acordo para transferência de dados pessoais europeus para os EUA, essencial para as Big Techs e para a economia dos dias atuais. A batalha é antiga e não deve terminar em breve.

Se os EUA sempre estiveram na vanguarda da tecnologia e das Big Techs, a Europa sempre esteve na vanguarda regulatória. A primeira Lei de Proteção de Dados que se tem notícia data dos anos 70, em Hessen, na Alemanha. Mas foi em 1995, que a União Europeia publicou a primeira Diretiva sobre Tratamento de Dados e a partir desse momento, um novo paradigma nascia sobre o assunto.

Em 2000, durante a vigência da Diretiva, ao verificar-se o grande número de transferências de dados para os EUA e que estas ofereciam riscos, adotou-se o Safe Harbor Privacy Principles. O documento continha um conjunto de regras e princípios que deveriam ser observados para assegurar a proteção de dados pessoais por qualquer entidade norte-americana que pretendesse efetuar o tratamento de dados pessoais oriundos da União Europeia.

Em 2013, as revelações de Snowden e os sucessivos escândalos vinculados a Big Techs americanas determinaram uma guinada na posição da União Europeia em relação aos receios sobre o tratamento dos dados dos cidadãos europeus de forma indevida.

Assim, uma decisão judicial invalidou o a adoção do Safe Harbor Privacy Principles no ano de 2015 e, em 2016, a Europa adotou um novo marco, o Privacy Shield EU-USA.

Como o Privacy Shield EU-USA era mais robusto, as empresas foram forçadas a processar os dados pessoais de maneira mais consistente e eram totalmente responsabilizadas e obrigadas a tomar as medidas necessárias para manter os dados pessoais protegidos de qualquer acesso não autorizado.

No entanto, em 2020 a Justiça Europeia entendeu novamente que os mecanismos do Privacy Shield EU-USA eram insuficientes. Foi constatado, por exemplo, que os programas de vigilância dos EUA não se limitavam a coletar somente o que era necessário, e que os titulares dos dados não tinham recursos legais nos EUA em caso de reclamações.

Em 10 de julho de 2023, a Comissão Europeia anunciou um novo quadro regulatório. O documento traz novas salvaguardas concebidas para dar resposta às preocupações levantadas pela Justiça Europeia. Entre elas incluem-se limites no acesso a dados europeus por parte de serviços de inteligência dos Estados Unidos e a criação da DPRC (Data Protection Review Court).

Além disso, as empresas norte-americanas terão de seguir um vasto conjunto de obrigações, como assegurar a eliminação dos dados pessoais quando já não estão em uso para o propósito para o qual foram coletados e garantir a continuidade da proteção da informação quando ela for partilhada com terceiros. O funcionamento do novo quadro regulatório será revisado periodicamente pela Comissão Europeia em procedimento a ser realizado em conjunto com as autoridades de proteção de dados competentes dos países.

Transferência de Dados Internacionais: Brasil

Por aqui, a transferência internacional de dados ainda gera muitas dúvidas. É fato notório que ela ocorre o tempo todo e que grandes players do mercado possuem suas bases de dados fora do Brasil, mas a aplicação das regras e salvaguardas ainda depende de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD).

Em novembro de 2022, a ANPD publicou sua Agenda Regulatória para o biênio 2023-2024, dividida em quatro fases e por ordem de prioridade. Espera-se na fase 1 a evolução da regulamentação dos artigos 33, 34 e 35 da LGPD, que versam sobre o grau de proteção exigido aos países e organismos internacionais para serem considerados aptos a receber dados pessoais provenientes do Brasil.

Já que o Brasil ainda não possui suas diretrizes, vale a pena acompanhar as Decisões de Adequação da Comissão Europeia que, inclusive, possui uma lista de países reconhecidos como seguros.

O Congresso Nacional promulgou, no último dia 10 de fevereiro, a Emenda Constitucional nº 115, de 2022. Ela visa a inclusão na Constituição Federal da proteção de dados pessoais entre os direitos e garantias fundamentais, visando, ainda, a fixação da competência privativa da União para legislar sobre a proteção e tratamento de dados pessoais, além de ordenar e fiscalizar o tema nos termos da lei. Em nome do Congresso Nacional, o presidente Rodrigo Pacheco realçou a importância da Emenda para o fortalecimento das liberdades públicas, reforçando a liberdade dos brasileiros e a privacidade do cidadão, além de favorecer os investimentos em tecnologia no país e reforçar dispositivos inseridos recentemente na legislação ordinária, como o Marco Civil da Internet, de 2014, e a Lei Geral de Proteção de Dados, de 2018.

Os Direitos e Garantias Fundamentais estão previstos no Título II da Constituição Federal e elencam um rol de direitos e garantias individuais e coletivas nos aspectos sociais, econômicos e políticos considerados indispensáveis ao exercício da cidadania pelos brasileiros. O texto constitucional proporciona uma proteção tão singular aos direitos fundamentais que não é possível apresentar PEC que tenha como objetivo aboli-los, por afronta ao princípio democrático.

Destaca-se assim dois aspectos a respeito da eficácia dos direitos fundamentais: o aspecto vertical, no qual o titular passa a ter instrumentos capazes de se opor aos arbítrios do Estado frente a possíveis abusos; e o aspecto horizontal, em que o titular pode exigir que os demais indivíduos respeitem o seu exercício.

No que tange a competência privativa da União, o Congresso Nacional busca evitar o surgimento de diplomas legislativos, estaduais e municipais, que tratem o tema de forma diversa, o que resultaria em dificuldade de adequação. Dessa forma, uma legislação nacional e uniforme seria capaz de centralizar e uniformizar as questões de proteção de dados.

Posto isso, torna-se essencial um mecanismo legal para proteger os dados pessoais, sobretudo como um direito fundamental para que haja o fortalecimento da cultura de proteção. Consolida-se, assim, o entendimento que a proteção de dados pessoais é cada vez mais imprescindível para o livre e pleno desenvolvimento da personalidade e dignidade da pessoa humana.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

A Resolução 02/2022 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. Para LGPD, são considerados agentes de pequeno porte: (i) microempresa com receita bruta anual igual ou inferir a R$ 360.000,00 e empresa de pequeno porte com receita bruta anual superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00 (nos termos do art. 3º e 18-A da Lei Complementar nº 123/2006); (ii) startups (nos termos do Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021); e (iii) pessoas naturais e entes privados despersonalizados.   Menciona-se, todavia, que a referida Resolução tem uma concepção bem mais limitada do conceito de agente de tratamento de pequeno porte em relação à consulta pública.

Essa regulamentação teve por objetivo a flexibilização das obrigações dispostas na LGPD para agentes de tratamento de pequeno porte, sendo que as principais diferenças estão nas obrigações relacionadas aos direitos do titular de dados, no registro das atividades que envolvem dados pessoais e na indicação de encarregado pelo tratamento de dados pessoais.

É válido mencionar que a ANPD excetua o tratamento jurídico diferenciado disposto no Regulamento aos agentes de tratamento de pequeno porte que realizem atividade considerada de alto risco para os titulares (e.g. tratamento de dados pessoais em larga escala ou que possam afetar os interesses fundamentais do titular de dados; tratamento de dados que envolva o uso de novas tecnologias; tratamento de dados pessoais sensíveis ou de crianças, adolescentes ou idosos; etc.); ou que pertença a grupo econômico com receita global superior aos limites impostos.

Com relação aos direitos do titular de dados, será facultado ao agente de tratamento de pequeno porte escolher a forma que disponibilizará as informações solicitadas pelo titular de dados desde que assegure os direitos previstos na LGPD. Não sendo, portanto, obrigado a disponibilizar de forma impressa ou eletrônico nos moldes previstos nos artigos 9º a 18º da LGPD.

Quanto a obrigação da manter inventário contendo a descrição detalhada dos processos que envolvem tratamento de dados pessoais, nos termos do artigo 37 da LGPD, o agente de pequeno pode poderá cumprir essa obrigação de forma simplificada e menos burocrática através de modelo a ser fornecido pela própria ANPD. Em relação ao encarregado, a ANPD decidiu por isentar os agentes de pequeno porte da obrigação de indicação formal de pessoa responsável pela proteção de dados, desde que seja disponibilizado um canal próprio de comunicação com o titular de dados pessoais.

Além do acima disposto, vale ressaltar que os agentes de tratamento de pequeno porte também contam com prazos diferenciados para cumprimento de obrigações e a adoção de técnicas menos complexas com relação a segurança da informação.

Como pode-se observar, a ideia da ANPD foi de simplificar para os agentes de tratamento de pequeno porte o processo a adequação à LGPD, para evitar custos e tempo desproporcionais  às atividade desses agentes.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

A Resolução 01/2021 do Conselho Diretor da ANPD que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador é de grande relevância, pois inaugura a atividade regulatória da Autoridade por meio de normas infralegais que impactam diretamente os atores da LGPD. As atividades fiscalizatórias da ANPD se caracterizam pelo monitoramento, orientação, prevenção e quando necessária repreensão de situações de dano ou risco.

Vê-se, desde já, uma significativa atuação orientativa por parte da Autoridade através de suas publicações (cartilhas, guias de tratamento, guias orientativos) que buscam de forma didática elucidar dúvidas sobre a aplicação da LGPD.

Um questionamento recorrente dos titulares de dados diz respeito justamente à forma de atuação da ANPD, ou como a autoridade pode dar início ao processo de fiscalização. Dessa forma vê-se a possibilidade tanto de atuação de ofício ou em coordenação com outros órgãos (Ministério Público, PROCON, autoridades internacionais etc.) ou ainda mediante requerimento de titulares de dados. Ponto fundamental e que deve ser observado pelos agentes controladores é que o requerimento deve necessariamente comprovar a prévia comunicação ao controlador e não solução do problema, homenageando o estímulo à conciliação entre as partes envolvidas.

Com vistas à prevenção, a ANPD pode se utilizar de avisos, solicitação de regularização ou planos de conformidade antes de iniciar o processo sancionador. Trata-se de instrumentos extremamente úteis e salutares que visam evitar a necessidade de processos sancionadores com impactos positivos para correção de práticas irregulares e divulgação da cultura de proteção de dados.

No âmbito do processo sancionador, destaca-se os deveres dos agentes regulados quando submetidos à fiscalização da ANPD. A autoridade tem a prerrogativa de realizar auditorias, exigir cópias de documentos, acessar a instalações, infraestrutura e sistemas de informação relacionadas às atividades de tratamento. Tal prerrogativa reforça ainda mais a necessidade de documentação das atividades realizadas durante o processo de implementação e adequação à LGPD. Ou seja, não basta implementar processos, políticas e adequações, é necessário também documentar e mantê-los atualizados para eventualmente apresentá-los à autoridade quando da fiscalização ou do processo sancionador.

A ANPD deu, assim, o primeiro passo para aplicação das sanções previstas em lei, no que ainda se espera uma regulamentação mais clara sobre as metodologias que orientarão o cálculo do valor das sanções de multa, mas ao mesmo tempo buscou estabelecer todas as ferramentas educativas e preventivas que pretende utilizar para lidar com os desafios no âmbito da proteção de dados.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

A Autoridade Nacional de Proteção de Dados publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, construído no intuito de trazer maior segurança jurídica aos titulares de dados pessoais e agentes de tratamento, a partir de esclarecimentos das dúvidas submetidas com maior frequência à ANPD acerca dos papéis dos agentes de tratamento e da figura do Encarregado.

Ao passo que não se trata propriamente de norma regulamentadora sobre o tema, o material foi elaborado visando a estrear a missão da ANPD de promover na população o conhecimento sobre proteção de dados pessoais, prevista expressamente no artigo 55-J, inciso VI da LGPD. A finalidade da autoridade inclui a indicação de parâmetros auxiliares para identificação das categorias e conceitos legais na prática.

Assim, o documento de estreia da Autoridade busca conscientizar tanto os próprios agentes de tratamento, quanto o cidadão e a população em geral acerca de quem pode exercer as funções de controlador, operador e encarregado; suas definições legais; os respectivos regimes de responsabilidade; casos concretos exemplificativos e FAQs sobre o assunto.

No texto publicado, destacam-se a abordagem sobre a coincidência das funções de Controlador e Operador em uma mesma organização, além da explanação sobre a possibilidade de enquadramento também de pessoas naturais em ambas as categorias.

Ainda, o texto pormenoriza as distinções entre o conceito de agente de tratamento (tanto controlador, quanto operador) e o funcionário subordinado, e endereça também a hipótese de existência de mais de um controlador em um processo de tratamento. Há ainda a controladoria “Controladoria Conjunta”, que, apesar de não explícita no texto da LGPD, é tida como contemplada no sistema jurídico de proteção de dados tendo em vista que controladores distintos podem tomar decisões comuns ou convergentes sobre determinados dados pessoais.

O material também inaugura o conceito de “suboperador”, igualmente não expresso na LGPD, caracterizando-o como agente de tratamento com funções, competências e responsabilidades dentro da função de operador, mas em subordinação a outro operador. Logo, é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador, de modo que a relação direta do suboperador é com o operador e não com controlador.

Quanto ao tema do Encarregado, o guia reforça a orientação de que normativas futuras da ANPD trarão hipóteses de dispensa da necessidade de indicação dessa figura, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Há todavia uma diretiva clara no sentido de que o encarregado pode ser uma pessoa física (funcionário da organização) ou jurídica (agente externo) indicado por um ato formal.

Nesse sentido, a elaboração e divulgação do material vai ao encontro das metas de ações qualitativas e indicadores numéricos vinculados a um dos macro-objetivos estratégicos delineados pela ANPD em seu Planejamento Estratégico 2021-2023, qual seja, a promoção da consolidação de uma cultura de proteção de dados pessoais.