Atuação
A ação da ANPD nessa área consiste no monitoramento, orientação, prevenção e repressão frente aos agentes de tratamento de dados de modo a assegurar a conformidade com a Lei Geral de Proteção de Dados (LGPD). O monitoramento ocorre por meio da coleta de informações e dados para a tomada de decisões e para assegurar o funcionamento adequado do ambiente regulado. A orientação visa promover a conscientização e educação dos agentes de tratamento e titulares de dados. A prevenção envolve a colaboração com o agente regulado para corrigir ou evitar problemas que possam afetar os titulares de dados e outros agentes. A repressão, por sua vez, é uma abordagem coercitiva, focada em interromper práticas prejudiciais, assegurar a conformidade e aplicar sanções por meio de processos administrativos sancionadores, precedidos ou não de procedimentos preparatórios. Informações adicionais sobre cada uma dessas etapas podem ser encontradas no Regulamento da Fiscalização, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, retificado por meio da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
O monitoramento das atividades de tratamento de dados pessoais é realizado para garantir a conformidade com a LGPD. Funciona como um sensor da fiscalização. Ele visa a máxima abrangência para ampliar a captação de informações. Em função de amplitude, sua perspectiva costuma ser superficial.
O objetivo é detectar anomalias, analisá-las rapidamente e selecionar as que requerem um exame mais profundo. É com base nas informações coletadas no monitoramento que a fiscalização organiza suas ações, visando avaliar a conformidade dos agentes, gerenciar riscos regulatórios, prevenir irregularidades e corrigir práticas inadequadas. O Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários são os instrumentos para esse acompanhamento e os requerimentos são a principal fonte de informações desse processo.
Unidade Administrativa Responsável (Divisão de Monitoramento). E-mail: monitoramento@anpd.gov.br.
- Requerimentos (Denúncias e Petição)
Existem dois tipos de requerimentos: petições de titular e denúncias. A petição serve para o titular de dados reclamar contra um controlador sobre o exercício de seus direitos em relação ao tratamento de seus dados, enquanto a denúncia serve para qualquer pessoa, natural ou jurídica, comunicar uma suposta infração cometida contra a legislação.
REQUERIMENTOS RECEBIDOS PELA ANPD
Ano Requerimentos no Ano Acumulado desde 2021 2021 769 769 2022 1.045 1.814 2023 1.138 2.952 2024 (até setembro) 2.115 5.067 - Processos de Monitoramento em Andamento
Agente de Tratamento Escopo da Análise Nº do Processo CNPJ Acesso aos documentos públicos do processo por meio da Pesquisa Pública Vários Ausência de indicação, identidade ou informações de contato do encarregado pelo tratamento de dados pessoais e/ou ausência ou deficiência no canal de comunicação 00261.006718/2024-14 Vários - - Relatório de Ciclo de Monitoramento
É uma ferramenta para avaliar, prestar contas e planejar as atividades de fiscalização. Ele examina as ações realizadas durante o ciclo, apresenta indicadores e resultados, define estratégias para a atuação orientativa, preventiva e repressiva, e consolida informações de requerimentos e incidentes. Submetido ao Conselho Diretor ao final de cada ciclo, o relatório pode também indicar novas áreas de atuação para a ANPD, além de suas funções fiscalizatória e sancionadora.
Acesse aqui o Relatório do Ciclo de Monitoramento de 2022.
Acesse aqui o Relatório do Ciclo de Monitoramento do 1º semestre 2023.
- Processos de Monitoramento Concluídos
Agente de Tratamento Escopo da Análise Nº do Processo CNPJ Acesso aos documentos públicos do processo por meio da Pesquisa Pública Secretaria Municipal da Segurança Cidadã (Sesec) do Município de Fortaleza/CE Monitoramento de requerimentos - Política de Videomonitoramento 00261.002211/2022-20 17.904.427/0001-17 - Plataforma Threads Monitoramento de requerimentos - Atividade de tratamento de dados pessoais 00261.002029/2023-50 Sem CNPJ específico13.347.016/0001-17* Facebook (grupo Meta)- Transparência.CC Monitoramento e averiguação do tratamento de dados pessoais - canal de comunicação e indicação de encarregado pelo tratamento de dados pessoais. 00261.002319/2023-01 Não identificado Via processo nº 00261.003240/2023-90. A certidão 0147642 contém o link para documentos públicos anteriores a 01/08/2024. Nu Pagamentos S.A - Instituição de Pagamento (Nubank) Ausência de resposta aos pedidos de manifestação da ANPD pelo Encarregado pelo tratamento de dados pessoais e possível descumprimento da LGPD no que diz respeito aos direitos dos titulares 00261.004913/2024-18 18.236.120/0001-58 Via número do processo Secretaria de Educação do Estado de São Paulo Monitoramento do tratamento de dados pessoais na instalação do Aplicativo "Minha Escola SP" 00261.002186/2023-65 46.384.111/0001-40 Via número do processo. A certidão 0154582 contém o link para documentos públicos anteriores a 01/08/2024.
A ANPD adota medidas para orientar, conscientizar e educar agentes de tratamento, titulares de dados e outros interessados no tratamento de dados pessoais. Essas orientações incluem a criação de guias e modelos de documentos, sugestões para treinamentos, ferramentas de autoavaliação, e recomendações sobre padrões técnicos e programas de governança.
Para acessar esses documentos, clique aqui.
Essa atividade preventiva busca assegurar a conformidade dos agentes de tratamento e evitar riscos ou danos aos titulares de dados. Medidas preventivas, como divulgação de informações, avisos, solicitações de regularização e planos de conformidade, resultam de processos de fiscalização realizados pela Coordenação - Geral de Fiscalização, mas não são consideradas sanções. Contudo, se um agente não atender às medidas preventivas, a ANPD pode adotar medidas adicionais ou partir para ações repressivas, e a não - conformidade pode agravar o caso, com a instauração de processos administrativos sancionadores.
Unidade Administrativa Responsável (Coordenação de Fiscalização). E-mail: fiscalizacao@anpd.gov.br.
- Processo de Fiscalização
O processo de fiscalização tem por finalidade avaliar determinado tratamento de dados pessoais. Para isso, a depender do objetivo da fiscalização, podem ser analisados vários aspectos do tratamento, por exemplo: i) a finalidade do tratamento; ii) a origem dos dados pessoais tratados; iii) quais dados são tratados; iv) o nível de transparência que o controlador dá a esse tratamento; v) ferramentas para exercícios de direito do titular; vi) medidas de segurança da informação; e vii) compartilhamento dos dados pessoais.
É a partir da análise dessas informações que a fiscalização avalia a conformidade do tratamento e informa ao controlador sobre a necessidade de medidas para corrigir falhas no tratamento.
O rito do processo de fiscalização é dinâmico e varia conforme o comportamento da empresa fiscalizada. Em linhas gerais, esse processo compreende sete etapas, indicadas na figura abaixo:
- Etapas do Processo de Fiscalização
Etapa 1 – Abertura do Processo de Fiscalização e levantamentos de informações
Após formalizar a abertura do Processo de Fiscalização, a ANPD solicita esclarecimentos e documentos ao fiscalizado para compreender a situação.
Etapa 2 – Manifestação inicial do regulado
Ao fiscalizado cabe prestar todas as informações solicitadas, além de outras que julgar relevantes para a elucidação dos fatos.
A recusa em fornecer as informações solicitadas ou a ausência de resposta pode caracterizar infração de obstrução à fiscalização, passível de sancionamento pela ANPD.
Não é cabível o fiscalizado alegar qualquer segredo ou sigilo para negar informações à ANPD. Por outro lado, todo e qualquer esclarecimento entregue será protegido caso seja sigiloso nos termos de lei. O regulado sempre poderá indicar o sigilo à Autoridade, desde que acompanhado de justificativa e fundamentação legal.
Etapa 3 – Avaliação Preliminar da ANPD
A ANPD avaliará os esclarecimentos e documentos fornecidos pelos fiscalizados à luz do que dispõe a LGPD e regulamentação aplicável.
Após a análise, a Autarquia expedirá nota técnica com determinações e recomendações ao fiscalizado, com vistas a conduzir o tratamento de dados pessoais à conformidade, se for o caso. Alternativamente, se não houver indícios mínimos de materialidade e autoria, a referida nota técnica poderá sugerir o arquivamento do Processo.
Etapa 4 – Resposta do Fiscalizado
Trata-se da oportunidade de o fiscalizado prestar esclarecimento acerca das determinações e recomendações expedidas pela ANPD. Em tese, o fiscalizado pode atender ou discordar e solicitar revisão.
Etapa 5 – Análise de acompanhamento das determinações
A ANPD avalia o atendimento das determinações e recomendações. É possível considerá-las atendidas, não-atendidas ou aceitar as explicações do fiscalizado e reconsiderar a determinação. Uma vez feita a análise, a ANPD encaminha para conhecimento do fiscalizado, reiterando as determinações consideradas não atendidas.
Etapa 6 – Segunda resposta do fiscalizado
Segunda oportunidade de o fiscalizado prestar esclarecimentos acerca das recomendações reiteradas. Em tese, o fiscalizado pode atender ou discordar e solicitar revisão.
Etapa 7 – Análise conclusiva
Nesta etapa, a ANPD avalia o atendimento das determinações e recomendações reiteradas. É possível considerá-las atendidas, não-atendidas ou aceitar as explicações do fiscalizado e reconsiderar a determinação. Uma vez feita a análise, a ANPD encaminha para conhecimento do fiscalizado.
Se tudo for considerado atendido ou acatado, ou se houver reconsideração de determinações e recomendações, o processo é encerrado.
Restando alguma pendência, são possíveis dois encaminhamentos:
1- Quando há cooperação do fiscalizado: expedição de medida preventiva, dando prazo para resposta acerca do cumprimento das determinações, sob pena de abertura de processo sancionador.
2- Quando não há cooperação do fiscalizado: determinação de abertura de processo sancionador e lavratura do auto de infração.
O papel da cooperação do fiscalizado é primordial: até o momento, todos os processos sancionadores conduzidos pela ANPD, sem exceção, foram instaurados em decorrência de postura não colaborativa do regulado.
- Processos de Fiscalização em Andamento
Agente de Tratamento Escopo da Análise Nº do Processo CNPJ Acesso aos Documentos Públicos do Processo por Meio da Pesquisa Pública Bytedance Brasil Tecnologia Ltda. (TikTok) Verificação de conformidade do tratamento de dados pessoais de crianças e adolescentes 00261.000297/2021-75 27.415.911/0001-36 Processo nº 00261.004725/2024-81 Serviço Federal de Processamento de Dados - Serpro Verificação de conformidade do tratamento de dados pessoais - compartilhamento de dados pessoais entre órgãos públicos 00261.000704/2021-44 33.683.111/0001-07 Processo nº 00261.000704/2021-44.
Os documentos deste processo contêm discussão sobre entendimento, ainda está em construção, quanto às responsabilidades dos agentes de tratamento. Por esse motivo, o processo está com acesso temporariamente restrito até a sua conclusão, em razão de seu caráter preparatório (art. 20 do Decreto nº 7.724/2012).
Unitfour Tecnologia da Informação Ltda. Verificação de conformidade do tratamento de dados pessoais 00001.008253/2021-54 07.583.629/0001-50 Apartado público em construção. Previsão de disponibilidade em dezembro. Zappo Tecnologia da Informação e Publicidade Ltda.-ME (Contact Pró) Verificação de conformidade do tratamento de dados pessoais 00261.001709/2021-94 37.241.944/0001-60 Processo nº 00261.001709/2021-94. A certidão 0139039 contém o link para documentos públicos anteriores a 01/08/2024. Claro S.A. e Serasa S.A. Verificação de conformidade do tratamento de dados pessoais 00261.000227/2022-06 40.432.544/0001-47 e 62.173.620/0001-80, respectivamente Apartado público em construção. Previsão de disponibilidade em dezembro de 2024. WhatsApp LLC. Verificação de conformidade do tratamento de dados pessoais - Compartilhamento de dados com as Empresas do Grupo Meta (Facebook) 00261.001296/2022-29 13.347.016/0001-17* Facebook (grupo Meta) Processo nº 00261.001450/2023-43. A certidão 0136611 contém o link para documentos públicos anteriores a 01/08/2024. Instituto Nacional do Seguro Social (INSS) e Dataprev Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados 00261.001688/2022-98 29.979.036/0001-40 e 42.422.253/0001-01, respectivamente Processo nº 00261.003506/2024-85. A certidão 0138873 contém o link para documentos públicos anteriores a 01/08/2024. Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Estude em Casa, Explicaê, Manga High e Stoodi Verificação de conformidade do tratamento de dados pessoais de crianças e adolescentes por plataformas digitais de ensino 00261.001328/2023-77 Centro de Mídias da Educação de São Paulo (Secretaria da Educação do Estado de São Paulo) - 46.384.111/0001-40
Descomplica - 10.393.366/0001-21
Escola Mais - 26.086.054/0001-05
Estude em casa (Secretaria de Educação do Estado de Minas Gerais) - 18.715.599/0001-05
Explicaê - 24.708.800/0001-20
MangaHigh - 21.149.369/0001-30
Stoodi - 19.292.023/0001-45 (quando da instauração do processo), atualmente incorporada pela EDE 38.733.648/0001-40Processo nº 00261.001328/2023-77. A Certidão n° 0156742 contém o link para documentos públicos anteriores a 01/08/2024. RaiaDrogasil S.A., Stix Fidelidade e Inteligência S.A. e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias) Verificação de conformidade do tratamento de dados pessoais 00261.001371/2023-32 RaiaDrogasil S.A. - 61.585.865/0001-51
Stix Fidelidade e Inteligência S.A. - 31.688.927/0001-90
Febrafar - 05.341.062/0001-80Processo nº 00261.005364/2024-91. Ministério da Justiça e Segurança Pública (MJSP) Verificação de conformidade do tratamento de dados pessoais - compartilhamento de dados pessoais - Projeto Estádio Seguro 00261.001722/2023-13 00.394.494/0001-36 Processo nº 00261.001722/2023-13. A certidão 0139470 contém o link para documentos públicos anteriores a 01/08/2024. Tudo Sobre Todos Verificação de conformidade do tratamento de dados pessoais 00261.003304/2023-52 Não identificado Processo nº 00261.003304/2023-52. A certidão 0139800 contém o link para documentos públicos anteriores a 01/08/2024. Itaú Unibanco S.A. Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados 00261.000698/2024-78 60.701.190/0001-04 Processo nº 00261.000698/2024-78. A certidão 0138981 contém o link para documentos públicos anteriores a 01/08/2024. Banco Pan S.A. Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados 00261.000705/2024-31 59.285.411/0001-13 Processo nº 00261.000705/2024-31. A certidão 0138982 contém o link para documentos públicos anteriores a 01/08/2024. Banco Santander (Brasil) S.A. Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados 00261.000706/2024-86 90.400.888/0001-42 Processo nº 00261.000706/2024-86. A certidão 0138983 contém o link para documentos públicos anteriores a 01/08/2024. Banco Bradesco S.A. Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados 00261.001596/2024-70 60.746.948/0001-12 Processo nº 00261.001596/2024-70. A certidão 0138984 contém o link para documentos públicos anteriores a 01/08/2024. Meta Platforms, Inc. Verificação de conformidade do tratamento de dados pessoais - Inteligência Artificial Generativa 00261.004509/2024-36 Sem CNPJ específico
13.347.016/0001-17* Facebook (Grupo Meta)Processo nº 00261.004509/2024-36. A certidão 0143204 contém o link para documentos públicos anteriores a 01/08/2024. X Corp. (Anteriormente "Twitter") Verificação de conformidade do tratamento de dados pessoais - Inteligência Artificial Generativa 00261.005116/2024-40 Não identificado Processo nº 00261.005116/2024-40 Tools for Humanity Corp. Investigação sobre o tratamento de dados biométricos de usuários do Protocolo World ID, no contexto do projeto Worldcoin 00261.006742/2024-53 N/A Diretamente pelo número do processo - Processos de Fiscalização Concluídos
Agente de Tratamento Escopo da Análise Nº do Processo CNPJ Acesso aos documentos públicos do processo por meio da Pesquisa Pública DNIT e PRF Compartilhamento de dados do DNIT para PRF 00046.000690/2020-22 04.892.707/0001-00 - WhatsApp LLC Avaliação da alteração da Política de Privacidade 00261.000012/2021-04* - parte1
00261.000012/2021-04* - parte2*Clique para acessar o inteiro teor dos documentos públicos deste processo.
13.347.016/0001-17* Facebook Processo nº 00261.001145/2024-32. Nota 4 (0136622) contém o link para documentos públicos anteriores a 01/08/2024 Facebook Verificação de conformidade do tratamento de dados pessoais 00261.000342/2021-91 13.347.016/0001-17 - Prefeitura de Rebouças/PR Divulgação de dados pessoais sensíveis 00261.000565/2021-59 77.774.859/0001-82 - Polícia Federal Verificação de conformidade do tratamento de dados pessoais 00261.000836/2021-76 00.394.494/0014-50 - Prefeitura do Recife/PE Verificação de conformidade do tratamento de dados pessoais - Contratação de monitoramento e reconhecimento facial 00261.001708/2021-40 10.565.000/0001-92 - Receita Federal do Brasil Verificação de conformidade do tratamento de dados pessoais - Portaria RFB nº 81/2021 00261.001732/2021-89 00.394.460/0058-87 - Secretaria de Governo Digital (Ministério da Gestão e Inovação) Verificação de conformidade do tratamento de dados pessoais - Acordo de Cooperação Técnica nº 27/2021 - SGD x Associação Brasileira de Bancos 00261.000043/2022-38 00.489.828/0027-94 - Secretaria de Governo Digital (Ministério da Gestão e Inovação) Verificação de conformidade do tratamento de dados pessoais - Acordo de Cooperação Técnica nº 16/2021 - SGD x FEBRABAN 00261.000064/2022-53 00.489.828/0027-94 - Ministério da Saúde Verificação de conformidade do tratamento de dados pessoais - Vazamento de dados de médicos participantes de audiência pública 00261.000079/2022-11 00.394.544/0036-05 - Telegram Messenger Inc. Verificação de conformidade do tratamento de dados pessoais *Clique para acessar o inteiro teor dos documentos públicos deste processo.
Não identificado Inteiro teor disponível por meio da pesquisa pública, pelo link disponível na Certidão 0151944 Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) Verificação de conformidade do tratamento de dados pessoais - Mudanças na política de publicação de dados do ENEM 00261.000730/2022-53
Inteiro teor disponível por meio da pesquisa pública, pelo link disponível na Certidão 0145374
01.678.363/0001-43 Inteiro teor disponível por meio da pesquisa pública, pelo link disponível na Certidão 0145374 Receita Federal do Brasil Verificação de conformidade do tratamento de dados pessoais - Portaria RFB nº 167/2022 00261.000821/2022-99 00.394.460/0058-87 - Buonny e Open Tech Verificação de conformidade do tratamento de dados pessoais - Uso de dados pessoais para fins discriminatórios 00261.000851/2022-03 06.326.025/0001-66 e
04.368.185/0001-42,
respectivamenteA Certidão 0147455 contém o link para documentos públicos do processo anteriores a 01/08/2024 Serviço Federal de Processamento de Dados - Serpro Acordo de Cooperação Técnica entre Serpro e Drumwave *Clique para acessar o inteiro teor dos documentos públicos deste processo.
33.683.111/0001-07 Documentos públicos disponíveis no módulo de pesquisa pública, por meio do documento 0149559 Governo do Estado do Paraná, Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar) e Algar Soluções em TIC S.A. (Algar Telecom) e Ótima Technology Ltda Verificação de conformidade do tratamento de dados pessoais 00261.002036/2022-71 Gov. Paraná - 76.416.940/0001-28,
Celepar - 76.545.011/0003-80,
Algar - 71.208.516/0001-74 e
Ótima Tech - 15.185.990/0001-57Documentos públicos disponíveis no processo 00261.006145/2024-29 Secretaria Municipal da Segurança Cidadã (Sesec) do Município de Fortaleza/CE Verificação de conformidade do tratamento de dados pessoais *Clique para acessar o inteiro teor dos documentos públicos deste processo.
17.904.427/0001-17 - Secretaria de Governo Digital (Ministério da Gestão e Inovação) Verificação de conformidade do tratamento de dados pessoais - Compartilhamento de dados entre órgãos públicos 00261.002620/2022-26 00.489.828/0027-94 - Não identificado Verificação de conformidade do tratamento de dados pessoais de 223 milhões de cidadãos brasileiros 00261.000050/2021-59 Não identificado. - Ministério da Justiça e Segurança Pública (MJSP) Verificação de conformidade do tratamento de dados pessoais na contratação de ferramenta de pesquisa em fontes abertas 00261.001028/2021-26
00.394.494/0001-36A Certidão 0148234 contém o link para documentos públicos anteriores a 01/08/2024.
A atividade repressiva se caracteriza pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à reparação dos danos, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas na LGPD, por meio de Processo Administrativo Sancionador. Na ausência de indícios suficientes para confirmar a materialidade da autoria, o Processo Administrativo Sancionador pode ser precedido do Procedimento Preparatório.
- Processo Preparatório
Unidade Administrativa Responsável (Coordenação de Fiscalização). E-mail: fiscalizacao@anpd.gov.br.
A ANPD poderá realizar averiguações preliminares, por iniciativa própria ou mediante requerimento, quando os indícios da prática de infração não forem suficientes para a instauração imediata do Processo Administrativo Sancionador. Um dos meios para a elucidação dos fatos são as diligências, nos termos da LGPD e da regulamentação vigente. Após a instrução do procedimento preparatório, a Autoridade pode optar por arquivá-lo ou iniciar o Processo Sancionador, embora possa instaurá-lo diretamente se a infração for grave, reincidente ou afetar gravemente os direitos pessoais.
- Processos Preparatórios em Andamento
Agente de Tratamento Motivo da Instauração Nº do Processo CNPJ Acesso aos documentos públicos do processo por meio da Pesquisa Pública BuscaDados Verificação de conformidade do tratamento de dados pessoais 00261.003388/2023-24 Não identificado Processo nº 00261.003388/2023-24. A certidão 0139041 contém o link para documentos públicos anteriores a 01/08/2024. BuscaPrime Verificação de conformidade do tratamento de dados pessoais 00261.004500/2024-25 37.947.006/0001-80 Processo nº 00261.004500/2024-25. A certidão 0139046 contém o link para documentos públicos anteriores a 01/08/2024. iFind Verificação de conformidade do tratamento de dados pessoais 00261.001522/2023-52 Não identificado Processo nº 00261.001522/2023-52. A certidão 0139047 contém o link para documentos públicos anteriores a 01/08/2024. MetaBusca Verificação de conformidade do tratamento de dados pessoais 00261.003240/2023-90 37.883.875/0001-99 Processo nº 00261.003240/2023-90. A certidão 0139048 contém o link para documentos públicos anteriores a 01/08/2024. - Procedimento Administrativo Sancionador
Esse tipo de processo visa apurar infrações à legislação de proteção de dados, podendo ser iniciado de ofício, por meio do monitoramento ou por requerimento. Uma vez instaurado via despacho de instauração, não cabe recurso administrativo contra sua instauração. A condução do Processo é pautada por princípios de legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa e eficiência, observando critérios como adequação entre meios e fins, respeito às formalidades essenciais, impulso de ofício do processo e interpretação normativa que atenda ao interesse público.
A instauração de processo sancionador não significa condenação ou certidão de que o autuado faz tratamento ilegal de dados pessoais. Em respeito aos princípios do contraditório e da ampla defesa, o autuado terá oportunidade de se manifestar no processo, apresentando seus argumentos de defesa e provas com o objetivo de demonstrar que sua atuação não viola a LGPD.
- Processos Administrativos Sancionadores em Andamento
Agente de Tratamento Motivo da Instauração Nº do Processo CNPJ Acesso aos documentos públicos do processo por meio da Pesquisa Pública Ministério da Saúde Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança 00261.001882/2022-73 00.394.544/0036-05 Diretamente pelo número do processo Secretaria de Desenvolvimento Social, Criança e Juventude - SDSCJ Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança 00261.001963/2022-73*
*Clique para acessar o inteiro teor dos documentos públicos deste processo.08.642.138/0001-04 - Bytedance Brasil Tecnologia Ltda. (TikTok) Condutas que não observam o melhor interesse de crianças e adolescentes 00261.006648/2024-02 27.415.911/0001-36 Diretamente pelo número do processo - Processo Administrativo Sancionadores Concluídos
Agente de Tratamento Motivo da Instauração Nº do Processo CNPJ Acesso aos documentos públicos do processo por meio da Pesquisa Pública Telekall Infoservices Não atendimento à determinação da ANPD 00261.000489/2022-62
*Clique para acessar o inteiro teor dos documentos públicos deste processo.12.193.228/0001-24 Consulta aos documentos públicos disponível na Certidão 0154102, no processo nº 00261.000489/2022-62. Instituto de Pesquisa Jardim Botânico do Rio de Janeiro Falta de comunicação de incidente de segurança à ANPD e aos titulares e por deixar de atender requisições da ANPD 00261.000574/2022-21
*Clique para acessar o inteiro teor dos documentos públicos deste processo.04.936.616/0001-20 Consulta aos documentos públicos disponível na Certidão 0154108, no processo nº 00261.000574/2022-21. Secretaria de Educação do Distrito Federal Falta de comunicação de incidente aos titulares, ausência de comprovação que os sistemas utilizados atendem aos requisitos de segurança, padrões de boas práticas e governança, ausência de comprovação da manutenção de registros das operações de tratamento de dados pessoais, não apresentação de RIPD e por deixar de atender requisições da ANPD 00261.001192/2022-14
parte1 *
parte2 **Clique para acessar o inteiro teor dos documentos públicos deste processo.
.00.394.676/0001-07 Consulta aos documentos públicos disponível na Certidão 0154118, no processo nº 00261.001192/2022-14. Secretaria de Estado da Saúde de Santa Catarina Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança; não atendimento a determinações da ANPD 00261.001886/2022-51*
*Clique para acessar o inteiro teor dos documentos públicos deste processo.82.951.245/0001-69 Consulta aos documentos públicos disponível na Certidão 0154137, no processo nº 00261.001886/2022-51. Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança 00261.001969/2022-41*
*Clique para acessar o inteiro teor dos documentos públicos deste processo.60.747.318/0001-62 Consulta aos documentos públicos disponível na Certidão 0154652, no processo nº 00261.001969/2022-41. Instituto Nacional do Seguro Social - INSS Ausência de comunicação de incidente de segurança aos titulares e não atendimento de medida preventiva adotada pela ANPD 00261.001888/2023-21
principal *
recurso *
*Clique para acessar o inteiro teor dos documentos públicos deste processo.29.979.036/0001-40 - Ministério da Saúde Falta de comprovação de indicação do encarregado, ausência de envio do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), falta de comunicação de incidente de segurança à ANPD e aos titulares e por deixar de atender requisições da ANPD 00261.000456/2022-12
00.394.544/0036-05 -
Incidentes de Segurança
Um incidente de segurança é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. A ocorrência de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares deve ser comunicada à ANPD e ao titular de dados, pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador, via peticionamento eletrônico por meio do sistema SEI! da ANPD.
O propósito da comunicação do incidente à ANPD é permitir que a fiscalização possa acompanhar o controlador de dados no processo, incluídas as medidas de segurança da informação e as medidas de mitigação do impacto do incidente sobre os titulares de dados. É por intermédio desse acompanhamento que a fiscalização verifica se o controlador tomou as providências necessárias tanto para evitar novos incidentes quanto para proteger os titulares das consequências do incidente.
Unidade Administrativa Responsável (Coordenação de Tratamento de Incidente de Segurança. E-mail: incidentes@anpd.gov.br.
- Números dos Incidentes de Segurança
Um incidente de segurança é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. A ocorrência de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares deve ser comunicada à ANPD e ao titular de dados, pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador, via peticionamento eletrônico por meio do sistema SEI! da ANPD.
COMUNICADOS DE INCIDENTE DE SEGURANÇA RECEBIDOS PELA ANPD
Ano Comunicados no Ano Acumulado desde 2021 2021 186 186 2022 275 461 2023 352 813 2024 (até setembro) 250 1.063 Tipo de Incidente (2023)Quantidade de ComunicadosSequestro de Dados (ransomware) sem transferência de informações69Sequestro de dados (ransomware) com transferência e/ou publicação de informações65Exploração de vulnerabilidade em sistemas de informação54Acesso não autorizado a sistemas de informação35Divulgação indevida de dados pessoais25Roubo de credenciais / Engenharia Social24Envio de dados a destinatário incorreto23Outro tipo de incidente não cibernético13Perda/roubo de documentos ou dispositivos eletrônicos11Publicação não intencional de dados pessoais10Outro tipo de incidente cibernético8Falha em sistema de informação (software)8Alteração/exclusão não autorizada de dados pessoais2Vírus de Computador / Malware2Descarte incorreto de documentos ou dispositivos eletrônicos1Violação de credencial por força bruta1Negação de Serviço (DoS)1Total Geral352Tipo de Incidente (até setembro/2024) Quantidade de Comunicados Sequestro de Dados (ransomware) sem transferência de informações 42 Roubo de credenciais / Engenharia Social 40 Acesso não autorizado a sistemas de informação 27 Exploração de vulnerabilidade em sistemas de informação 27 Sequestro de dados (ransomware) com transferência e/ou publicação de informações 24 Outro tipo de incidente cibernético 20 Divulgação indevida de dados pessoais 19 Envio de dados a destinatário incorreto 15 Publicação não intencional de dados pessoais 11 Outro tipo de incidente não cibernético 9 Falha em sistema de informação (software) 6 Perda/roubo de documentos ou dispositivos eletrônicos 6 Navegação de Serviço (DoS) 2 Falha em equipamento (hardware) 1 Violação de credencial por força bruta 1 Total Geral 250