00261.000403/2023-82 Autoridade Nacional de Proteção de Dados Coordenação-Geral de Fiscalização Nota Técnica nº 19/2023/CGF/ANPD 1. INTERESSADO 1.1. Coordenação-Geral de Fiscalização. 2. ASSUNTO 2.1. Atividade de Monitoramento. 3. REFERÊNCIAS 3.1. Lei nº 13.709, de 14 de agosto de 2018 – Lei de Geral de Proteção de Dados Pessoais (LGPD); 3.2. Regimento Interno da Autoridade Nacional de Proteção de Dados (RI-ANPD), aprovado pela Portaria nº 01, de 08 de março 2021; 3.3. Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD (Regulamento de Fiscalização), aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021; 3.4. Plano Anual de Fiscalização (PAF) – 2022/2 a 2023/2 (SUPER nº 3625101); 3.5. Processo SUPER nº 00261.000403/2023-82; 3.6. Despacho SUPER nº 3982113. 4. SUMÁRIO 4.1. RELATÓRIO 4.2. ANÁLISE 4.2.1. Agentes recorrentes 4.2.2. Padrões identificados 4.2.3. Padrões mais frequentes 4.2.4. Dificuldades de os titulares exercerem seus direitos 4.2.5. Compartilhamento de dados 4.3. CONCLUSÃO 4.3.1. Competência da ANPD 4.3.2. Medidas educativas: o que o interessado deve saber 4.3.3. Adequação geral à LGPD 4.3.4. Adequação às dificuldades de concretização de direitos dos titulares 4.3.5. Adequação no compartilhamento de dados pessoais 4.4. ENCAMINHAMENTOS 5. RELATÓRIO[1] 5.1. De acordo com o item 3.3.3 do Plano Anual de Fiscalização (PAF) – 2022/2 a 2023/2, os setores Financeiro e de Telecomunicações foram os que receberam maior número de requerimentos, sejam petições do titular ou denúncias. Diante desta expressiva quantidade de requerimentos, do volume de dados tratados e do caráter fundamental dos serviços prestados por estes setores, julgou-se conveniente analisar os requerimentos relacionados a estes 2 (dois) setores com maior minúcia, para que, caso se julgue oportuno, incluir esses setores no Mapa de Temas Prioritários 2022/2023. 5.2. Foram analisados de forma pormenorizada 312 processos, sendo 168 (cento e sessenta e oito) recebidos no ano de 2021 e 144 (cento e quarenta e quatro) em 2022. O quantitativo dividido por setor foi de 208 (duzentos e oito) processos do setor financeiro e 104 (cento e quatro) do setor de telecomunicações. 5.3. Em regra, o conteúdo dos requerimentos é similar, por isso foram analisados de forma conjunta. 5.4. O setor Financeiro inclui bancos, correspondentes bancários e financeiras em geral. Já o setor de telecomunicações inclui as principais operadoras, como Claro, Vivo, Tim e Oi, bem como outras operadoras menores. A maior parte dos requerimentos não foi apurada de forma detalhada e individual em momento anterior à elaboração desta Nota Técnica. 5.5. A partir da reanálise desses processos, a planilha de monitoramento dos requerimentos foi complementada com descrições precisas e detalhadas dos fatos narrados pelos interessados, sejam os titulares de dados, sejam os denunciantes. Além disso, foi adicionada uma nova coluna na planilha para indicação de padrões que mais repetiram naqueles processos. 5.6. Com isso, foi possível observar os casos de reclamações recorrentes apresentadas à ANPD, seja pela Ouvidoria (Fala.br) ou pelo protocolo (SUPER), para fazer um levantamento apurado dos fatos frequentes, dos agentes de tratamentos mais citados, e dos possíveis encaminhamentos que a Coordenação-Geral de Fiscalização (CGF) poderia adotar nos casos concretos. 5.7. É o relatório. 6. ANÁLISE 6.1. Agentes recorrentes 6.1.1. Durante a reanálise dos casos, identificou-se quais agentes de tratamento foram mais indicados pelos interessados. No total, foram identificados 141 controladores de dados, sendo que em três casos não foi possível identificar o responsável pelo tratamento objeto do requerimento. Os resultados estão evidenciados no gráfico e na tabela abaixo, sendo que esta apenas evidencia os agentes que foram objeto em dois ou mais requerimentos. Ordem Agente de Tratamento Contagem 1° Claro S.A. 48 2° Vivo S.A. 25 3° Itaú Unibanco S.A. 13 4° Banco Bradesco 13 5° Banco Santander 13 Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 1 6° Tim S.A. 13 7° Banco C6 S.A. 11 8° Caixa Econômica Federal 10 9° Banco do Brasil 10 10 Banco Pan 8 11 Oi. S.A. 7 12 Picpay 6 13 Mercado Pago 4 14 Banco Cetelem 4 15 Banco Inter 4 16 Banco Safra 4 17 Nubank 4 18 Banco Digimais 3 19 Não identificado 3 20 Banco Central do Brasil 3 21 Algar Telecom 2 22 Ligue Telecomunicações 2 23 Riachuelo 2 24 Monetus 2 25 Abastece Aí 2 26 Castro Costa Ass., Loc. e Cobrança LTDA 2 27 Banco BMG 2 28 Pag Seguro 2 29 Super Benefícios Seguros 2 30 Prime Consignados 2 31 Facility Promotora 2 32 Sodexo 2 33 Agibank 2 34 XP Investimentos 2 35 Consórcio Nacional Volkswagen 2 36 Will Bank 2 Ordem Agente de Tratamento Contagem 6.1.2. No gráfico acima, estão descritos os dez agentes que foram mais citados nos requerimentos analisados. Para visualização gráfica de todos os agentes citados, acesse o anexo I (Gráfico Agentes – SEI nº 4193492) desta Nota. 6.1.3. Os agentes que mais foram citados nos requerimentos dos titulares foram a Claro S.A., com 48 casos, a Vivo S.A., com 25 requerimentos, seguindo do Itaú Unibanco S.A., Banco Bradesco, Banco Santander e Tim S.A., que foram indicados como controladores em 13 casos cada. 6.2. Padrões identificados 6.2.1. Durante a reanálise dos casos, foi possível notar que certas situações eram recorrentes. Com base nisso, foi possível extrair 11 padrões dos requerimentos feitos pelos interessados, tanto a respeito da concretização de direitos elencados na LGPD, quanto sobre possíveis desvios no tratamento de dados pessoais de acordo com a avaliação do próprio titular, conforme tabela abaixo: Código Gênero Espécie Subespécie 1.a.i Confirmação da existência de tratamento 1.a.ii Acesso aos dados 1.a.iii Correção de dados incompletos, inexatos ou desatualizados 1.a.iv Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei 1.a.v Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 2 Dificuldade em exercer direitos dos titulares Espécie de Direito 1.a.vi Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial 1.a.vii Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei 1.a.ix Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados 1.a.x Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa 1.a.xi Direito de eliminação geral 1.a.xii Direito de informação (art. 9º) 1.b Controlador não respondeu N/A 1.c Respondeu de forma incompleta ou insatisfatória N/A 1.d Titular peticionou diretamente à ANPD N/A 2 Não adequação geral à LGPD Geral N/A 2.a Falta de encarregado N/A 2.b Falta de documentos de conformidade com a LGPD N/A 2.c Titular não concorda com a base legal utilizada pelo controlador N/A 2.d Titular não concorda com a posição de agente de tratamento informada N/A 3.a Terceiro Compartilhamento indevido N/A 3.b Acesso indevido a dados N/A 4 Coleta de dados pessoais desnecessários Geral N/A 4.a No pedido de exclusão de dados N/A 5 Retenção de dados por prazo maior que o necessário N/A N/A 6 Falhas no sistema que expõe dados pessoais N/A N/A 7 Forma: Vinculado a outros processos administrativos ou judiciais Geral N/A 7.a Titular manda o processo N/A 7.b ANPD recebeu Ofício N/A 8 Financeiro: oferta proativa de saque de saldo do FGTS N/A N/A 9 Não LGPD Geral N/A 9.a Comunicações indesejadas por ligação, WhatsApp, SMS e e-mail N/A 9.b Dados de titular cadastrado em ficha/conta de terceiro N/A 9.c Fraude Geral 9.c.i Boleto falso 9.c.ii Informação falsa: links, SMS 9.c.iii Falta de validação de identidade para criar/alterar negócio jurídico 9.c.iv Titular supõe o vazamento de dados 9.c.v Pessoa que se passa por empregado de empresa controladora 9.c.vi Financeiro: transações não autorizadas na conta bancária 9.c.vii Financeiro: furto de cartão magnético 9.c.viii Financeiro: Contratação de serviços/empréstimos/compras desconhecidas pelo titular 9.d Consulta de CPF de bureau de crédito N/A 9.e Dados de pessoa jurídica N/A 10 Falta de elementos fáticos e/ou provas ou não foi possível identificar o pedido N/A N/A 11 Denúncia de violação à LGPD de terceiro interessado e não titular de dados N/A N/A Código Gênero Espécie Subespécie 6.2.2. O padrão 1 se refere a dificuldade de concretização dos direitos dos titulares. Nesses casos, os titulares procuraram a ANPD para indicar que não conseguiram alcançar seus direitos, seja por falta de resposta do controlador (1.b), seja por resposta de forma insatisfatória ou incompleta por parte do controlador (1.c). Em outros casos, o titular peticionou diretamente à ANPD requerendo seu direito (1.d), porém, de acordo com art. 55-J, inciso V, da LGPD e art. 4º, inciso V, do Regulamento de Fiscalização, o titular de dados deve, antes de peticionar junto à autoridade, buscar contato com o controlador e, apenas se não atendido, deve procurar a ANPD. 6.2.3. Ainda neste padrão, foram classificadas as espécies de direitos que os titulares buscavam exercer com base no art. 9º, art. 18, incisos I ao IX, e seguintes, da LGPD. Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 3 Subespécie do Padrão – Direito do Titular Quantidade de Ocorrências 1.a.xi – Direito de Informação 43 1.a.ii – Acesso aos Dados 6 1.a.iii – Correção de Dados 4 1.a.xii – Não Identificado 4 1.a.i – Confirmação de Existência de Tratamento 3 Total Geral 60 6.2.4. O direito mais frequentemente alegado pelo titular foi o direito de eliminação, ou exclusão, em que o titular requer que o controlador não trate mais seus dados pessoais. Nos incisos IV e VI, do art. 18, da LGPD, a lei prevê um direito de eliminação em duas situações distintas: quando os dados são desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei, ou quando os dados pessoais são tratados com o consentimento do titular. Apesar dessa separação legal, os requerimentos dos titulares não indicavam essa especificidade. Por isso, esta análise classificou o direito de eliminação em um grande grupo (1.a.XI). 6.2.5. O direito de acesso aos dados (1.a.II) foi o segundo mais requisitado, em que os titulares procuram saber quais dados os controladores conhecem sobre ele. Seguido deste direito, os titulares reclamavam sobre o direito de correção de dados incompletos, inexatos ou desatualizados (1.a.III), o direito de informação (1.a.XII) e o direito de confirmação da existência de tratamento (1.a.I). 6.2.6. Outro requerimento apontado pelos interessados diz respeito à não adequação à LGPD de forma geral, esse caso foi identificado como padrão de código 2. Os titulares apontaram à ANPD casos em que o controlador não nomeou encarregado de dados pessoais (2.a), apesar da obrigação legal prevista no art. 41, da LGPD. Ainda, existem requerimentos sobre a falta de documentos de conformidade com a LGPD (2.b), como a publicização de uma política de privacidade, política de cookies, e outros documentos de transparência. Também foram percebidos casos em que o titular não concorda com base legal utilizada pelo controlador (2.c) para fundamentar o tratamento de dados ou o titular não concorda com a definição que o agente de tratamento diz exercer (controlador ou operador de dados) (2.d). 6.2.7. O padrão código 3 diz respeito ao acesso de dados concedido a terceiro, que pode ser observado por duas perspectivas distintas: compartilhamento indevido (3.a) e acesso indevido a dados (3.b). A primeira forma de acesso de terceiros versa sobre quando o controlador que possui relação prévia com o titular compartilha dados pessoais com controladores terceiros de forma indevida. Já o acesso indevido a dados ocorre quando o controlador que não possui relação com o titular recebe dados pessoais de outros controladores. 6.2.8. Já o padrão código 4 se refere à coleta de dados pessoais desnecessários a partir da percepção do interessado, mesmo sem motivação específica. Aqui, o interessado indica que o controlador solicita dados para além do proporcional, de forma que este passa a tratar informações que não se relacionam com o tratamento específico. Frequentemente, essa coleta excessiva ocorre durante o pedido de exclusão de dados (4.b), em que o controlador requer diversas informações para atender o pedido do titular. 6.2.9. O padrão código 5 trata da retenção de dados por prazo maior que necessário, a partir da percepção do interessado, mesmo sem motivação específica. Nesses casos, o interessado afirma que o controlador armazena informações pessoais por tempo superior ao necessário. 6.2.10. O padrão código 6 categoriza casos em que o interessado indica falha no sistema que expõe dados pessoais dos titulares. 6.2.11. Ainda, o padrão código 7 foi indicado nos casos em que, por questões formais, o requerimento à ANPD está vinculado a outros processos administrativos ou judiciais, e este requerimento pode ter sido enviado pelo próprio interessado (7.a), ou a ANPD pode ter recebido um ofício (7.b) de outros órgãos públicos que comunicam a existência de um processo que possa ser de interesse à Autoridade. 6.2.12. O padrão código 8 foi percebido apenas nos requerimentos relacionados ao setor financeiro, em que o interessado recebe oferta proativa de saque de saldo do FGTS. 6.2.13. O padrão código 9 trata dos casos não relacionados à LGPD, em que foram observadas situações diversas, como o recebimento de comunicações indesejadas por ligação, WhatsApp, SMS e e-mail, que visam a oferta de produtos e serviços pelos controladores, bem como a cobrança de dívidas (9.a), ou situações em que os dados de titular foram cadastrados em ficha/conta de terceiro de forma equivocada e este, por sua vez, visa a correção ou exclusão (9.b). Pormenorizadamente, foram identificados casos não específicos de fraude, em sentido amplo ou não especificado pelo titular (9.c); boletos falsos recebidos pelo titular (9.c.I); recebimento de informação falsa por email ou SMS, contendo link de origem suspeita (9.c.II); falta de validação de identidade para criar/alterar negócio jurídico (9.c.III); titular que supõe o vazamento de dados pelo controlador (9.c.IV); pessoa que se passa por empregado de empresa controladora (9.c.V); e, por fim, 3 situações diretamente vinculadas ao setor financeiro, como transações não autorizadas na conta bancária (9.c.VI); furto de cartão magnético (9.c.VII) e contratação de serviços/empréstimos/compras desconhecidas pelo titular (9.c.VIII). Ainda nas situações que não se enquadravam na LGPD, foram apresentados os casos de consulta de CPF em bureau de crédito (9.d), dados de pessoa jurídica (9.e). 6.2.14. O padrão 10 tratou dos casos em que faltaram elementos fáticos e/ou provas ou não foi possível identificar o pedido. Muitas petições e denúncias apresentadas não continham provas de materialidade dos fatos ou eram carentes de maiores detalhes ou informações pertinentes ao caso apresentado para análise da ANPD. 6.2.15. Enquanto os padrões 1 a 10 dizem respeito a petições de titular, o padrão 11 indicou as denúncias de violação à LGPD, próprias a situações com potencial violação à LGDP que não correspondem ao exercício de direitos do titular, conforme definição prevista no art. 4º, inciso III do Regulamento de Fiscalização. 6.3. Padrões mais frequentes 6.3.1. Os processos foram reclassificados de acordo com os padrões reconhecidos acima. Ordem Código Espécie / Subespécie do Padrão Quantidade de Ocorrências 1° 9.a Comunicação indesejada 83 2° 10 Falta de fatos e provas 44 3° 1.a.xi Direito de eliminação 43 4° 9.c.viii Contratação desconhecida 40 5° 3.a Compartilhamento indevido 37 6° 9.c.iv Suposto vazamento 27 7° 1.c Resposta insatisfatória ou incompleta 21 8° 9.b Dado cadastrado em conta de terceiro 16 9° 4 Dados desnecessários 16 Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 4 10 7.b ANPD recebe Ofício 15 11 9.c.vi Transações não autorizadas 14 12 3.b Acesso indevido a dados 12 13 9.c.v Pessoa se passa por representante de controlador 11 14 2.a Falta de encarregado 11 15 11 Denúncia de terceiro interessado 10 16 6 Falha no sistema que expõe dados 9 17 2.b Falta de documento de conformidade 8 18 1.b Controlador não respondeu 7 19 9.c.i Boleto falso 6 20 1.a.ii Acesso aos dados 6 21 8 Oferta proativa de saque de FGTS 5 22 1.a.xii Direito de informação 5 23 1.d Titular peticionou diretamente à ANPD 5 24 1.a.iii Correção de dados 4 25 9.c.ii Informação falsa 4 26 7.a Titular envia processo externo 4 27 9.c.iii Falta de validação de identidade 4 28 4.a Dados desnecessários em exclusão de dados 3 29 9.d Consulta de CPF em bureau de crédito 3 30 1.a.i Confirmação do tratamento 3 31 9.e Dados de pessoa jurídica 2 32 5 Retenção de dados por prazo prolongado 2 33 2.d Titular não concorda com o agente de tratamento 2 34 9 Não LGPD 2 35 2.c Titular não concorda com a base legal 2 36 2 Não adequação geral à LGPD 1 37 9.c.vii Furto de cartão magnético 1 Total Geral 488 Ordem Código Espécie / Subespécie do Padrão Quantidade de Ocorrências 6.3.2. No gráfico acima, estão descritos os dez padrões que foram mais identificados nos requerimentos analisados. Para visualização gráfica de todos os padrões citados, acesse o anexo II (Gráfico Padrões – SEI nº 4193894) desta Nota. 6.3.3. Após a análise dos 312 processos e atribuição dos padrões definidos no item 6.3.1., observou-se que o padrão mais abordado foi o 9.a (Comunicações indesejadas por ligação, WhatsApp, SMS e e-mail), com 83 casos. Apesar desse tipo de contato não ser, a priori, um ato ilícito, essa prática vem ocorrendo de forma excessiva, diante do número de requerimentos enviados a esta Autoridade. 6.3.4. Preliminarmente, no âmbito da LGPD, o art. 5º, I, considera dado pessoal toda “informação relacionada a pessoa natural identificada ou identificável”. Por essa razão, o número de telefone é dado pessoal, pois consiste em informação relacionada a pessoa natural identificada ou identificável. 6.3.5. Conforme dispõe o art. 9º da LGPD, o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva. A LGPD, em seu art. 5º, inciso X, define tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Na sequência, em seu inciso XVI, define o compartilhamento como “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados”. Depreende-se que a LGPD exige que o titular receba informações acerca do uso compartilhado de dados pelo controlador e a finalidade (art. 9º, V, da LGPD). 6.3.6. Os interessados elaboram requerimentos para esta Autoridade indicando que recebem comunicações indesejadas, mesmo sem solicitarem ou saberem quem autorizou a ligação e sem possibilidade de pedir o cancelamento de ligações futuras. A título de exemplo, destaca-se dois requerimentos enviados à ANPD. Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 5 Texto Integral À ANPD, Venho, por meio deste denunciar o uso indevido dos meus dados, bem como a recusa a exclusão dos mesmos, pela empresa Claro Brasil. A empresa Claro Brasil vem usando meus dados, sem minha autorização, em seu tratamento, bem como compartilhamento com parceiros, para me importunar via ligações telefônicas de telemarketing, o que é um assédio a minha privacidade, pois eles não possuem meu consentimento para o tratamento e o compartilhamento dos meus dados. Segue a listagem dos dados que eles possuem no anexo(Solicitacao_Acesso_Dados_052213056252949) Reforço também que busquei de todas as formas possíveis entrar em contato com a Claro Brasil solicitando a exclusão dos meus dados não essenciais. Quando procurada a empresa Claro não possuí direcionamento para um canal de solicitação de exclusão de dados não essenciais, daqueles que não são seus clientes. Conforme imagem anexo(PortalDaPrivacidadeProspect.png) Reforço aqui a minha denúncia a esta autarquia governamental com o propósito de garantir meus direitos civis de privacidade dos meus dados. Se por ventura, houver na ANPD, orientação, bem como mediação para reforçar que explicitamente NÃO AUTORIZO A EMPRESA CLARO BRASIL A MANTER, E/OU TRATAR MEUS DADOS, BEM COMO COMPARTILHAR COM SEUS PARCEIROS. A TEMPO, SOLICITO A EXCLUSÃO DE TODOS OS MEUS DADOS NÃO ESSENCIAIS MANTIDOS E TRATADOS SEM MINHA AUTORIZAÇÃO PELA EMPRESA CLARO BRASIL. Por favor, solicito que se possível notifiquem a empresa Claro Brasil para que meus direitos sobre meus dados sejam garantidos, bem como meu direito a privacidade. No mais, fico a disposição da ANPD para fornecer quaisquer evidências adicionais que julguem necessárias. Desde já. Grato, Campinas, 20 de Agosto de 2021 Fonte: Processo SUPER nº 00261.001141/2021-10 Teor da Manifestação Extrato: Prezados, Venho por meio desta solicitar averigação com relação ao atendimento a LGPD junto a operadora Claro/NET. A mais de 3 meses venho sendo bombardeado por constantes ligações de telemarketing desta operadora no meu telefone (87) XXX . Apesar de insistentes solicitações de não consentimento de uso de meus dados para tal fim, eles continuam a realizar este tipo de ligação. Meus números foram cadastrados desde o ano passado no serviço https://www.naomeperturbe.com.br/ mas pelo jeito está sendo ignorado. Foram abertas reclamações na Anatel sob protocolos XXX e XXX e no portal consumidor.gov.br sob protocolos XXX e XXX e apesar do posicionamento da operadora a prática do ato ainda persiste. Fonte: Processo SUPER nº 00261.000409/2021-98 6.3.7. Conforme estudos da Agência Nacional de Telecomunicações (ANATEL), o problema de ligações indesejadas tem escala global e vem sendo enfrentado por órgãos reguladores de outros países, como Estados Unidos e Índia. Trata-se de uma questão bastante complexa e a busca para uma solução eficaz e definitiva é constante. O primeiro passo para mitigar os efeitos indesejados desta prática é o mecanismo adotado pela própria ANATEL chamado “Não me Perturbe” [2], um cadastro onde os interessados poderão se inscrever para conter o recebimento de ligações indesejadas feitas pelos prestadores de serviços de telecomunicações. A suspensão das chamadas pelas empresas de telecomunicações ocorrerá em até 30 dias, contados da data do cadastramento. 6.3.8. Caso as ligações indesejadas continuem, o Ministério da Justiça e Segurança Pública (MJSP), através da Secretaria Nacional do Consumidor (SENACON), possui um canal para recebimento de denúncias desses casos, para evitar a oferta de produtos e serviços de telemarketing contra quaisquer empresas mesmo que não sejam prestadoras de serviços de telecomunicações ou instituições financeiras: denuncia-telemarketing.mj.gov.br [3]. E, caso o interessado não saiba o nome da empresa que está realizando as chamadas indesejadas, o site “Qual Empresa Me Ligou” [4], gerido pela ANATEL, pode ajudar a encontrar os dados necessários para que a denúncia junto ao MJSP seja mais efetiva. 6.3.9. Além disso, é possível o bloqueio de chamadas indesejadas por meio de recursos presentes no próprio aparelho celular ou de aplicativos (apps) que oferecem o serviço, disponíveis em Lojas Virtuais como a Apple Store ou Play Store. Informações úteis fornecidas pela indústria para o bloqueio das chamadas pelos aparelhos celulares podem ser encontradas no arquivo do link [5] . 6.3.10. No caso de e-mails indesejados, o titular poderá solicitar a interrupção de envio pelos links encaminhados ao final das mensagens, tais como ‘Cancelamento de Assinatura’, ‘Cancelar de inscrição’ ou ‘Descadastrar’. Se o remetente do e-mail é desconhecido ou suspeito, é prudente não realizar esta operação, pois o link pode não ser seguro ou confiável. Ainda, em regra, a ferramenta de e-mail permite que o interessado classifique o e-mail como spam, de forma a enviar e-mails semelhantes ao classificado para a caixa de spam e diminuir possíveis aborrecimentos com esse tipo de conteúdo. 6.3.11. A ANPD orienta que o titular entre em contato com o remetente e exercite seu direito de exclusão de dados. Caso o titular já tenha solicitado, mas não recebeu resposta satisfatória, ele pode optar por encaminhar um requerimento do tipo ‘Exclusão de dados pessoais tratados com consentimento’ ou ‘Eliminação de dados excessivos ou tratados irregularmente’, ao invés de uma denúncia. 6.3.12. Informações sobre como se proteger de e-mails indesejados (Spams) podem ser encontradas no site AntiSpam [6] . 6.3.13. O problema de contato indevido é multisetorial. Ele importa ao setor de telecomunicações, consumerista, de aplicação das leis civis e penais, entre outros. Apesar disso, a ANPD recebe diversos requerimentos dos titulares em que estes indicam receber ligações indesejadas, seja por empresas das quais eles são clientes, seja por empresas concorrentes ou mesmo empresas alheias aos interesses do titular. Salvo pelas estratégias de varredura sequencial de telefones válidos, essas ligações são possíveis por conta do compartilhamento de dados entre empresas, mesmo sem a ciência ou expectativa do titular. É neste ponto que o problema importa para a ANPD, como analisado no [item 6.5] . 6.3.14. No entanto, o titular entra em contato com a ANPD para solicitar que a empresa pare de realizar as ligações indevidas, pedido não diretamente relacionado à proteção de dados pessoais. O pedido mais próximo apoiado na LGPD é o de exclusão, que será analisado nesta Nota Técnica no [item 6.4.5] . 6.3.15. O segundo padrão mais frequente foi o 10 (Falta de elementos fáticos e/ou provas ou não foi possível identificar o pedido), com 44 casos. Infelizmente, muitas petições e denúncias apresentadas à ANDP carecem de detalhes e provas necessárias à apuração da infração alegada, como nos casos em que os titulares apenas anexam documentos não conexos ao caso apresentado, capturas de tela de conversas em WhatsApp, boletins de ocorrência ou mesmo contas de cobrança. 6.3.16. A título de exemplo, destaca-se dois requerimentos enviados pelos titulares à ANPD. Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 6 6.3.17. O terceiro padrão será analisado na forma descrita no [item 6.4.5] , que foi o Direito de Exclusão geral (1.a.XI), com 43 casos. 6.3.18. O quarto colocado foi o padrão 9.c.VIII (Financeiro: Contratação de serviços/empréstimos/compras desconhecidas pelo titular), que são da espécie “fraude”, com 40 casos. 6.3.19. Quando a denúncia diz respeito a possíveis fraudes, como boletos falsos, clonagem de cartões de crédito e de débito, realização de empréstimos, abertura indevida de contas ou contratação de serviços com uso de seus dados pessoais, a orientação da ANPD é que o ocorrido seja comunicado à instituição responsável e que o interessado também procure a autoridade policial competente para registro de Boletim de Ocorrência. 6.3.20. Tais fatos, que têm por objetivo o cometimento de fraude ou obtenção de vantagens indevidas em prejuízo aos interessados podem, em tese, configurar crimes, a depender das circunstâncias, tais como furto mediante fraude, estelionato, falsidade ideológica, falsificação de documento, dentre outros. 6.3.21. A tentativa de fraude não implica, necessariamente, ocorrência de um incidente de segurança. Havendo suspeita de vazamento de dados, o titular deve entrar em contato diretamente com o agente de tratamento para indagar se de fato houve exposição de seus dados, bem como quais dados, especificamente, foram atingidos e quais as providências adotadas. 6.3.22. A título de exemplo, destaca-se dois requerimentos enviados pelos titulares à ANPD. [Houve liberação de financiamento efetuado em agência da qual não sou correntista e liberado para débito em conta em minha conta corrente sob a alegação de que a segunda titular havia liberado por celular, sendo que a segunda titular nunca movimentou minha conta e havia sido enviado a certidão de homologação do divorcio em 2018 para a gerente, e a 2a titular nunca liberou acesso ou utilizou cartão necessário para cadastramento de aparelho, além de não tê-feito, solicitado dados efetivos da operação não foram fornecidos e inclusive com o objetivo de envio ao 3o Distrito Policial de Campinas-SP visto que temo pelo prazo de 6 meses para guarda das informações dos IPs de acesso e demais comprovações.] Fonte: Processo SUPER nº 00261.000625/2022-14 Fonte: Processo SUPER nº 00261.001719/2021-20 Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 7 XXX XXX Fonte: Processo SUPER nº 00261.002017/2022-44 Incidente de Segurança Descreva de forma resumida como o incidente de segurança com dados pessoais ocorreu. [Identifiquei que meus dados pessoais vazaram na internet e estão sendo utilizados para praticar fraudes. Não sei como os responsáveis pelas fraudes tiveram acesso a meus dados, nem a quais deles tiveram acesso. ] Quando o incidente ocorreu? [24/11/2020] ( ) Não tenho conhecimento. Justifique: [Resposta] (X) Não tenho certeza. Justifique: [Identifiquei o vazamento de meus dados em 26/01/2021. Só depois, em 29/01/2021, quando descobri a ferramenta Registrato e fiz meu cadastro na plataforma do Banco Central, identifiquei que em 24/11/2020 foram registradas duas chaves PIX em uma conta fraudulenta vinculada a meu CPF] Quando a organização teve ciência do incidente de segurança? [26/01/2021, por volta das 22:00] Descreva como a organização teve ciência do incidente de segurança. [Tomei ciência do incidente ao buscar meu nome completo diretamente na pesquisa do Google, pois estava participando naquele período de processos seletivos/matriculas para cursos técnico e superiores do SENAI e da FATEC. Identifiquei dentre os resultados da pesquisa meu nome e CPF sendo citados em uma reclamação no site Reclame Aqui. Ao acessar o site, havia um suposto consumidor reclamando ter efetuado pagamento referente a compra de um celular para meu nome e CPF, algo que desconheço completamente pois jamais realizei ou tive relação com qualquer tipo de comércio, nem tampouco com pessoas, empresas ou sites relacionadas a tais atividades. Registrei os detalhes desta situação em Boletim de Ocorrência que envio dentre os documentos anexos.] Se a comunicação inicial do incidente não foi comunicada no prazo sugerido de 2 dias úteis após ter tomado ciência do incidente, justifique os motivos. [Registrei o primeiro boletim de ocorrência em 27/01/2021. Não contatei a ANPD no prazo de 2 dias úteis pois desconhecia a existência dessa Autoridade naquele momento. Registrei reclamação ao Mercado Pago através do site consumidor.gov.br em 31/01/2021; entrei em contato com o site Reclame Aqui em 28/01/2021; entrei em contato com a Receita Federal de São Bernardo do Campo em 02/02/2021; Todos estes registros seguem anexos e em nenhum destes casos me foi informado sobre a necessidade de comunicar a ANPD.] Fonte: Processo SUPER nº 00261.000478/2021-00 6.3.23. O quinto foi o padrão 3.a (Compartilhamento indevido), com 37 manifestações, que será analisado de forma mais específica no [item 6.5]. 6.4. Dificuldade de os titulares exercerem seus direitos 6.4.1. Segundo o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, “os direitos dos titulares (art. 18 e outros) são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, e receber requerimento de oposição a tratamento. O titular dos dados pode, ainda, peticionar contra o controlador perante a ANPD, o que denota a relevância da compreensão do conceito não só para os profissionais da área, mas também para o cidadão comum”. 6.4.2. No entanto, nos requerimentos analisados pela ANPD, os titulares manifestaram insatisfação por ausência de resposta, ou por resposta incompleta ou insatisfatória. Isso indica ser possível que os agentes de tratamento não estejam atentos aos pedidos dos titulares, o que pode configurar uma infração à LGPD, já que cabe a esses atenderem os direitos dos titulares sem custo, nos prazos e termos razoáveis (art. 18, §5º). 6.4.3. Foram mapeados 21 casos de respostas incompletas ou insatisfatórias (1.c), 7 casos de não resposta do controlador (1.b), e 5 casos em que o titular peticionou diretamente à ANPD (1.d), quando, de acordo com o art. 55-J, V, da LGPD e art. 4º, V, e, art. 25, §1º, da Resolução CD/ANPD nº1/2021, cabe ao titular, inicialmente, entrar em contato com o agente de tratamento e, apenas quando a resposta dele não for satisfatória, comunicar a esta Autoridade. 6.4.4. A título de exemplo, destaca-se dois requerimentos enviados pelos titulares à ANPD. No corpo do texto a empresa se identifica como mediadora entre o Banco Santander e FUNDO DE INVESTIMENTO EM DIREITOS CREDITÓRIOS NÃO PADRONIZADOS FIDC NPL II. Questionei a empresa sobre o porquê de meus dados pessoais estarem sendo trafegados no título de e-mail e até o momento não recebi uma explicação plausível. Não forneci nenhum tipo de autorização ao Santander ou a Rama Advogados Associados para trafegarem meus dados pessoais sem nenhum tipo de tratamento. Fonte: Processo SUPER nº 00261.000569/2022-18 Incidente de Segurança Descreva de forma resumida como o incidente de segurança com dados pessoais ocorreu. Fiz meu cadastro no PicPay, porém por algum motivo que eles não esclarecem não foi aceito, só dão uma informação geral dizendo que teve algum dado incorreto, que não estaria de acordo com o Termo de Uso. Já solicitei de forma clara qual informação que prestei que estaria errada e eles se negam a informar, numa clara afronta a LGPD (Lei Geral de Proteção de Dados Pessoais). Já esclareci a Lei 13709 (LGPD), sobre o direito a se ter acesso aos próprios dados que empresa mantém em seu poder, ao direito de correção de dados incompletos (que não devem existir nesse caso), mas eles parecem achar que estão acima da Lei. Fonte: Processo SUPER nº 00261.000875/2021-73 6.4.5. Quanto às espécies de direitos dos titulares, o direito de exclusão geral (1.a.XI) foi o que mais os titulares tiveram dificuldade de exercer, com 43 manifestações. O direito de exclusão de dados é aquele em que o titular não deseja mais ter seus dados tratados pelo controlador e encontra seu amparo legal no art. 18, incisos IV e VI da LGPD. Neste último dispositivo, observou-se que, para o exercício dessa exclusão, os dados pessoais precisam estar sendo tratados com base no consentimento do titular. Porém, nos requerimentos apresentados, não foi possível identificar a presença desse consentimento anterior específico da parte do titular, sendo assim, todos foram identificados como o direito de exclusão de forma geral. 6.4.6. A título de exemplo, destaca-se dois requerimentos enviados pelos titulares à ANPD. Texto integral Em Novembro de 2021 acessei o site da Claro/NET pois estava recebendo diversas ligações, a partir do acesso ao site a Claro informava à época que não estava com o canal ativo e solicitou que fosse enviado um e-mail para fazer a exclusão dos dados do banco de dados, fiz o envio do e-mail para o endereço indicado, qual seja, dpo@claroatendimento.com.br CONFORME ORIENTAÇÃO DO SITE e nunca obtive um retorno. As ligações cessaram, mas hoje, recomeçaram as ligações e envios de whatsapp me perturbando a manhã inteira, diante disso não resta outra alternativa a não realizar tal denúncia uma vez que a empresa Claro/NET descumpre claramente a norma de proteção de dados. Ainda, diante do não auxílio recebido via site/e-mail, busquei auxílio em uma das lojas perto da minha casa… fui informado pelo atendente (totalmente despreparado) que essas ligações são da empresa concorrente e que buscam prejudicar a claro, ora, não me parece conveniente que uma empresa concorrente ligue em nome da Claro/NET para vender planos… Claramente os colaboradores da Claro não recebem o treinamento adequado, outro ponto que pecam nas normas de compliance. Busco a tutela de Autoridade para cessar esses contatos inoportunos. Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 8 Fonte: Processo SUPER nº 00261.000577/2022-64 Texto Integral Fiz a solicitação de exclusão dos meus dados dos sistemas do PicPay e não foi atendida. Eles insistem para eu apenas desativar a minha conta. Número da solicitação no ReclameAqui 129216189. Fonte: Processo SUPER nº 00261.001209/2021-52 6.4.7. A segunda espécie de direito que foi mais desrespeitada foi o de acesso aos dados (1.a.II), com 6 casos. Essa espécie foi seguida do direito de informação (1.a.II), com 5 manifestações, direito de correção (1.a.III), com 4 casos, e direito de confirmação do tratamento (1.a.I), com 3 casos. 6.4.8. A falta de concretização do direito de correção prejudica os casos em que os dados do titular são cadastrados em ficha ou conta de terceiro (9.b), de forma que o titular continua a ser contactado como se fosse o terceiro, mesmo que este não tenha relação alguma com o terceiro ou com a empresa que está buscando o terceiro. 6.4.9. Os seguintes direitos não foram objeto de requerimento dos titulares: revogação do consentimento, nos termos do §5º do art. 8º desta Lei (1.a.V); portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial (1.a.VI); informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (1.a.X); anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei (1.a.IV); eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei (1.a.VI); e informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (1.a.IX). 6.4.10. No caso dos direitos 1.a.IV e 1.a.VI, não foram feitos pedidos de anonimização e bloqueio de dados e os pedidos de eliminação foram classificados no padrão 1.a.XI, diante dos fundamentos indicados no [item 6.4.5] . Já o direito 1.a.IX foi classificado junto ao direito 1.a.XII, já que há obrigação de informar o titular sobre o uso compartilhado de dados. 6.5. Compartilhamento de dados 6.5.1. Outro desafio à proteção de dados percebido a partir dos requerimentos enviados pelos interessados foi o compartilhamento de dados pessoais sem ciência do titular. 6.5.2. O compartilhamento de dados não é vedado pela LGPD, porém, existem alguns requisitos, e um deles encontra-se previsto na própria definição de uso compartilhado de dados, prevista no art. 5º, inciso XVI da LGPD, que é a autorização específica para o compartilhamento de dados entre entes públicos e privados. 6.5.3. O compartilhamento de dados é um tipo de tratamento, e, por isso, ele deve se apoiar em um fundamento legal. Nos casos analisados, o dado compartilhado, em regra, não é sensível e ocorre entre os bancos ou operadoras de telefonia, e os correspondentes bancários ou agentes de vendas, as empresas concorrentes dos controladores, e as pessoas que se passam por representantes dos controladores, além de outros. 6.5.4. Logo, dentre as hipóteses de tratamento previstas no art. 7º da LGPD, as bases legais de cumprimento de obrigação legal ou regulatória (art. 7º, II), execução de políticas públicas pela administração pública (art. 7º, III), pesquisa (art. 7º, IV), exercício regular de direito em processo (art. 7º, VI), proteção da vida (art. 7º, VII), e tutela da saúde (art. 7º, VIII) não são aplicáveis de forma direita por não se relacionarem com o objeto do compartilhamento ora em análise. Restam as bases do consentimento (art. 7º, I), execução de contrato (art. 7º, V), proteção ao crédito (art. 7º, X) e legítimo interesse (art. 7º, IX), que serão analisadas de forma mais detida a seguir. 6.5.5. Nenhum dos requerimentos analisados indica que o titular tenha consentido com o compartilhamento de dados, já que é uma manifestação livre, informada e inequívoca feita pelo titular (art. 5º, XII) e, com isso, ele teria plena ciência de ter consentido com o compartilhamento de dados pessoais. Segundo o Guia Orientativo de Cookies e proteção de dados pessoais da ANPD: … não é compatível com a LGPD a obtenção “forçada” do consentimento, isto é, de forma condicionada ao aceite integral das condições de uso […], sem o fornecimento de opções efetivas ao titular. Deve-se ressalvar, no entanto, que a regularidade do consentimento deve ser verificada de acordo com o contexto e as peculiaridades de cada caso concreto, considerando-se, em particular, se é fornecida ao titular uma alternativa real e satisfatória. O consentimento também deve ser informado, exigindo-se, para tanto, que sejam apresentadas ao titular todas as informações necessárias para uma avaliação e uma tomada de decisão consciente a respeito da autorização ou recusa[…]. Assim, como já mencionado, devem ser fornecidas aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies, entre outras informações indicadas no art. 9º da LGPD. É importante ressaltar que essas informações se vinculam à própria utilização do dado pessoal. Qualquer alteração das premissas adotadas para a obtenção do consentimento macula a hipótese legal adotada, exigindo novo consentimento pelo titular de dados, ou a utilização de outra hipótese legal, de acordo com as novas premissas estabelecidas e com todas as informações necessárias para tanto. Além disso, o consentimento deve ser inequívoco, o que demanda a obtenção de uma manifestação de vontade clara e positiva do titular dos dados, não se admitindo a sua inferência ou a obtenção de forma tácita ou a partir de uma omissão do titular. Por isso, dada a incompatibilidade com as disposições da LGPD, não é recomendável a utilização de banners de cookies com opções de autorização pré-selecionadas ou a adoção de mecanismos de consentimento tácito, como a pressuposição de que, ao continuar a navegação em uma página, o titular forneceria consentimento para o tratamento de seus dados pessoais [7] 6.5.6. Já a execução do contrato apenas é aplicável quando (i) o titular for parte do contrato e (ii) o compartilhamento for necessário para a execução do contrato. Com isso, o compartilhamento de dados entre controladores só seria viável com base nessa hipótese legal quando essencial para cumprimento do núcleo do objeto do contrato, ou seja, prestação dos serviços ofertados pelo controlador. Esse foi o entendimento desta CGF no primeiro tópico do item 5.8.2.19 da Nota Técnica nº 49/2022/CGF/ANPD, o qual dá interpretação restritiva à base legal de execução do contrato (“a execução de contrato será utilizada quando o tratamento dos dados está relacionado com alguma correção dos Serviços ou com aprimoramento e personalização relacionada ao núcleo (core) da prestação dos Serviços ao usuário'”) [8] . 6.5.7. Dessa forma, os controladores do setor de financeiro e de telecomunicações somente poderiam se basear nesse fundamento legal caso demonstrassem que o compartilhamento de dados é imprescindível para cumprimento do contrato firmado entre eles e o titular de dados. No entanto, como descrito nos requerimentos analisados, esta relação não está explícita para os titulares. 6.5.8. Quanto à base de proteção ao crédito, entende-se também por uma interpretação restritiva da hipótese legal. As atividades de tratamento para proteção ao crédito remetem à análise de dados pessoais voltados a melhorar a análise de risco em situações em que o controlador deseja avaliar a capacidade de o titular honrar os compromissos financeiros que assume por ocasião de um contrato. 6.5.9. Nesse sentido, o controlador do setor financeiro e de telecomunicações estaria autorizado a compartilhar dados pessoais com outros agentes de tratamento com base nessa hipótese legal apenas quando necessário para análise de risco de inadimplência do titular de dados pessoais. Hipóteses como essa não foram vislumbradas nos requerimentos enviados pelos titulares, o que pode indicar a falta de aderência dessa base legal com o compartilhamento de dados feito nos casos concretos. 6.5.10. O legítimo interesse poderia, a priori, ser aplicado ao compartilhamento de dados ora em análise. Porém, essa base apenas é aplicável quando os direitos e as liberdades dos titulares não prevalecerem frente aos legítimos interesses incidentes no caso concreto. Para essa análise, no teste de legítimo interesse, é levado em consideração a legítima expectativa do titular no compartilhamento de dados (art. 10, II). 6.5.11. Em vista deste requisito e do conteúdo dos requerimentos enviados à ANPD, é provável que haja pouca ou quase nenhuma expectativa do titular em ter seus dados compartilhados com terceiros, já que é expressivo o volume de requerimentos que denunciam tais espécies de compartilhamento, somando um total de 49 casos. Em regra, esses requerimentos que questionam o compartilhamento de dados também solicitam a exclusão dos mesmos dados, o que demonstra a falta de expectativa do titular para com o compartilhamento de suas informações. . Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 9 6.5.12. Portanto, à luz do que se pode inferir a partir dos requerimentos analisados, as bases legais que autorizariam o tratamento de dados pessoais ora não parecem ser diretamente aplicáveis aos casos analisados, tendo em vista a identificação de barreiras jurídicas para algumas delas, ora não parecem ser corretamente implantadas aos casos analisados, tendo em vista a identificação de fragilidades fáticas em outras. 6.5.13. Ainda, o titular tem direito de ser informado sobre o uso compartilhado de dados pelo controlador e a finalidade do compartilhamento (art. 9º, V), além disso, ele tem direito de receber informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados (art. 18, VII). É provável que os controladores não tenham cumprido com essas obrigações, já que eles questionam e contestam o compartilhamento de dados com outros agentes. 6.5.14. Em alguns casos, a Claro, enquanto agente de tratamento responsável, foi instada a responder o requerimento do titular e, em sua defesa, ela destacou um desafio a ser enfrentado pelos titulares e pela ANPD: demonstrar a autoria do compartilhamento de dados. Existe uma dificuldade de o titular provar qual agente de tratamento foi responsável pelo compartilhamento de seus dados, a Claro indica que os dados pessoais compartilhados estão disponíveis para outros agentes e que ela não seria responsável pelo compartilhamento. Como consequência, a atuação da ANPD para verificar a legalidade do tratamento de dados se torna complexa. 6.5.15. A título de exemplo, destaca-se dois requerimentos enviados pelos titulares à ANPD. Venho recebendo inúmeros contatos da TIM, conforme faço prova em anexo. Nunca autorizei nenhum contato por parte desta operadora, não tendo atualmente nenhuma relação com a mesma. Ocorre que, em meados de novembro, entrei em contato com as operadoras CLARO e OI para instalarem internet em minha casa. Ocorre que, ilegalmente, tais empresas repassaram meu número de telefone para a TIM, iniciando-se o insistente contato através de Whatsapp sem meu consentimento. Desta forma, faz-se imperioso seja CLARO e OI intimadas para esclarecerem como estão tratando os dados a elas fornecido, assim como a TIM para que excluam quaisquer números e dados pessoais a mim relativos que esta detenha. Fonte: Processo SUPER nº 00261.000276/2022-31 Texto integral Prezado(a) um tempo atrás tinha assinado a conexão fibra ótica da empresa TIM LIVE, no entanto o mesmo foi cancelado e compartilharam meus dados pessoais sem meu consentimento com uma terceirizada chamada “Devolva Já”, o equipamento já foi entregue e continuam me importunando com ligações, mensagens no WhatsApp e vindo em minha residência, entrei em contato solicitando um posicionamento os mesmo visualizam e não retornam, não aguento mais está empresa devolva já me ligando, durante todo o dia, inclusive à noite, mandando inúmeras mensagens pelo whatsapp, por SMS, já inclusive insultada por seus funcionários, me importunam tanto que estou traumatizado não atendo mais nenhuma ligação. (SIC) Fonte: Processo SUPER nº 00261.000916/2021-21 7. CONCLUSÃO 7.1. Competência da ANPD 7.1.1. A ANPD, em seu papel norteador da privacidade e da proteção de dados, não tem apenas a função de fiscalizar e punir. A Autoridade tem a responsabilidade de zelar pela proteção de dados, elaborar diretrizes para a Política Nacional de Proteção de Dados, apreciar e processar petições dos titulares, disseminar o conhecimento sobre privacidade para o grande público, realizar estudos sobre as práticas de privacidade no Brasil e no mundo e desenvolver formas simplificadas para o registro de reclamações sobre o tratamento de dados pessoais. 7.1.2. Uma das competências da ANPD mais importantes dentre as destacadas pelo legislador está a de articular-se com as autoridades reguladoras para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação. Essa articulação deverá se dar com os PROCONS, com as agências reguladoras, com as associações de defesa dos consumidores em seus diversos setores de atividade. 7.1.3. O Regulamento de Fiscalização da ANPD dispõe sobre a estruturação das atividades previstas no art. 17 do Regimento Interno da ANPD. De acordo com o art. 2º do Regulamento, a fiscalização volta-se à orientação, à prevenção e à repressão das infrações à LGPD, de sorte a, conforme o art. 3º, proteger os direitos dos titulares de dados, promover a implementação da legislação de proteção de dados pessoais e zelar pelo cumprimento das disposições da LGPD. 7.1.4. Por força do art. 5º, VI e IX, da LGPD, e do art. 4º, I, do Regulamento de Fiscalização, as empresas objeto dos requerimentos são consideradas agentes regulados pela ANPD, haja vista serem “agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais”. Cumpre especificar as atividades a que os agentes regulados estão submetidos por força do Regulamento de Fiscalização: Art. 5º Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros: I – fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD; II – permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros; III – possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos; IV – submeter-se a auditorias realizadas ou determinadas pela ANPD; V – manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e VI – disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto. 7.1.5. O tratamento de dados pessoais realizado pelos setores financeiro e de telecomunicações, bem como o volume de requerimentos feitos pelos titulares a esta Autoridade, atrai a necessidade de manifestação da ANPD, órgão que detém a competência de: (i) zelar pela proteção de dados pessoais; (ii) fiscalizar e aplicar sanções em caso de tratamento de dados em descumprimento à legislação; (iii) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; (iv) ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; e (v) deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos, conforme previsão do art. 55-J, incisos I, IV, VI, XIV, XX da LGPD. 7.1.6. Diante disso, não compete à ANPD fiscalizar a realização de ligações indevidas que prejudicam o cotidiano do titular. Cabe à Autoridade atuar em casos que o titular solicita a exclusão do dado, porém o pedido não é atendido, ou as ligações têm origem no compartilhamento indevido de dados pessoais. Diante do volume de reclamações sobre este padrão, pode ser pertinente a atuação em conjunto desta Autoridade e da ANATEL, já que esta Agência possui mapeamento detalhado do problema, além de estudos especializados e maior maturidade na regulação de ligações indesejadas. 7.1.7. Importante destacar que os casos de crimes envolvendo dados pessoais, como, por exemplo, fraudes com o propósito de prejudicar os titulares ou de obter recursos ou vantagens indevidas com a utilização de seus dados pessoais devem ser reportados às autoridades policiais competentes, pois constituem crimes. Os casos mais comuns dizem respeito a boleto falso, transação e contratação desconhecida pelo titular, ou pessoa que se passa por representante da controladora quando não o é. 7.1.8. Cumpre informar que a apuração de fatos relacionados a golpes ou fraudes não está inserida no escopo de atuação desta Autoridade. Isso porque, conforme suas atribuições legais, o órgão não realiza especificamente investigação de crimes, mas de infrações administrativas previstas na LGPD, Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 10 podendo aplicar aos infratores as sanções previstas na Lei. 7.1.9. A tentativa de fraude não implica, necessariamente, a ocorrência de um incidente de segurança. Havendo suspeita de vazamento de dados, o titular deve entrar em contato diretamente com o agente de tratamento para indagar se de fato houve exposição de seus dados, bem como quais dados, especificamente, foram atingidos e quais as providências adotadas. 7.1.10. Logo, como plano de ação, cabe à ANPD: Solicitar documentos elaborados pela ANATEL sobre ligações indesejadas para possível atuação em conjunto; Indicar para o titular que a ocorrência de fraudes deve ser direcionada às autoridades policiais competentes; Indicar para o titular que a suspeita de vazamento de dados pessoais deve ser reportada ao controlador de dados pessoais. 7.2. Medidas educativas: o que o interessado deve saber 7.2.1. Muitos requerimentos enviados à ANPD foram apresentados de forma imprecisa, ou seja, ainda existem muitas dúvidas com relação em qual situação deverão ser encaminhadas à ANPD uma denúncia, uma petição de titular ou uma comunicação de incidente de segurança. 7.2.2. A ANPD define como “petição de titular” o exercício de direito pelo titular de dados em relação ao tratamento de seus dados pessoais. A LGPD prevê uma série de direitos ao titular em relação ao tratamento dos seus dados. Esses direitos incluem a confirmação da existência do tratamento de dados pessoais, o acesso aos dados pessoais, a correção de informações incompletas ou desatualizadas, a revogação do consentimento, a informação acerca do compartilhamento de seus dados pessoais e, em algumas situações, até a exclusão de dados. 7.2.3. O titular pode exercer seus direitos numa situação específica, em que uma empresa ou um órgão público, por exemplo, coleta, guarda, utiliza ou compartilha os seus dados pessoais. Nesse caso, é necessário que o titular faça uma solicitação diretamente à empresa ou ao órgão público responsável pelo tratamento desses dados antes de demandar à ANPD (art. 55-J, V, da LGPD e art. 4º, V, e, art. 25, §1º, do Regulamento). 7.2.4. Portanto, o exercício de direitos deve ser solicitado, primeiro, diretamente ao agente de tratamento responsável pelos dados pessoais, o controlador. E, caso seu pedido não tenha sido atendido ou a resposta dada pelo controlador não tenha sido satisfatória, o requerimento poderá ser encaminhado à ANPD por meio de uma ‘Petição de Titular’. 7.2.5. Já as denúncias são as comunicações feitas à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a legislação de proteção de dados pessoais brasileira, que não seja uma petição de titular. 7.2.6. Assim, as denúncias de descumprimento da LGPD possuem a característica de não se relacionarem necessariamente a uma situação específica de determinado titular de dados. Geralmente, são situações que atingem um conjunto de titulares de dados ou que impossibilitam o exercício de direitos por parte dos titulares. 7.2.7. Como exemplos de situações que podem ser denunciadas estão o tratamento discriminatório dos dados pessoais, a coleta excessiva de dados, a ausência de encarregado pelo tratamento dos dados pessoais, a não existência de canal de comunicação do agente de tratamento para o exercício de direitos, a ausência de medidas de segurança adequadas, a venda de dados pessoais, a ausência de política de privacidade, dentre outros. 7.2.8. Para que seja possível o tratamento de uma denúncia, é necessário que o denunciante identifique o agente de tratamento com a identidade oficial, o nome ou a razão social, bem como o sítio eletrônico (site) dele e e-mail para contato. A correta indicação de tais dados evita equívocos na identificação do denunciado e facilita a análise agregada pela ANPD. 7.2.9. Se o controlador não for identificado ou identificável, não há possibilidade de atuação da ANPD, como, por exemplo, no caso de contatos ou ligações que desligam sem nada falar, logo após o atendimento, ou no caso de e-mails spam que não identificam o controlador. 7.2.10. Em caso de o controlador não disponibilizar os dados de contato, também pode ser realizada uma denúncia, uma vez que o controlador tem o dever de divulgar essas informações de forma transparente. 7.2.11. Em alguns casos, titulares utilizaram o formulário de Comunicação de Incidente de Segurança (CIS) para peticionar a esta Autoridade. No entanto, este não é o instrumento adequado para o titular indicar possível violação à LGPD. O formulário em questão é destinado aos controladores de dados pessoais, o que exclui os titulares e terceiros [9] . 7.2.12. A ANPD, conforme suas atribuições legais, não realiza especificamente investigação de crimes, mas de infrações administrativas, podendo aplicar aos infratores as sanções previstas na LGPD, como advertências, multas, dentre outras. 7.2.13. Vale destacar que os requerimentos não relacionados à LGPD ou feitos de forma genérica não são admitidos. É necessário que o requerimento a ser apresentado à ANPD seja: escrito de forma clara e relativo a uma situação específica; relacionado a um descumprimento da legislação de proteção de dados pessoais, em que há competência da ANPD; identificado o agente de tratamento e o requerente legitimado, ou se cabível o anonimato (art. 55-J, V, da LGPD e art. 4º, V, e, art. 25, §1º, do Regulamento). 7.2.14. Nota-se que a existência de um pedido não é um requisito expresso para admissibilidade do requerimento. Ao mesmo tempo, de acordo com o art. 6º, IV, da Lei 9784/99, a formulação de pedido é requisito para qualquer requerimento apresentado à Administração Pública. Esse dispositivo é expressamente mencionado no art. 52, II, do Regimento Interno, que estabelece o indeferimento liminar do requerimento o qual não atenda aos requisitos do art. 6º. 7.2.15. Os requerimentos enviados à ANPD devem ser instruídos com fatos consubstanciados em provas enviadas pelo titular, ou seja, além de este apresentar uma narrativa dos acontecimentos de forma coerente e inteligível, deve-se juntar todas as provas que demonstrem os fatos ocorridos no caso concreto. O simples envio de links e capturas de telas de conversas não são suficientes para uma apuração adequada por esta Autoridade. 7.2.16. Diante dos equívocos identificados na reanálise, a CGF preparou um formulário a ser divulgado no site da ANPD, para facilitar ao titular a apresentação de petição no formato e conteúdo corretos à Autoridade. 7.2.17. O formulário e o texto de apresentação são essenciais para orientação do titular no momento de peticionar à ANPD. Oportunamente, outros recursos podem complementar o processo de conscientização do titular, como a elaboração de vídeos curtos que apresentem de forma simples e lúdica como a ANPD espera receber requerimentos. 7.2.18. Por vezes, os titulares reclamaram a esta ANPD que seu CPF foi consultado nos birôs de crédito, tais como o SPC e a Serasa. No entanto, deve ser de conhecimento dos titulares que a mera consulta não infringe, necessariamente, a LGPD. Tais consultas podem estar amparadas por uma hipótese de tratamento válida. 7.2.19. A formação dos chamados “Cadastros Negativos” ou sistemas de score de crédito também não são proibidas. Além disso, não é necessário o consentimento do consumidor para que seu cadastro seja registrado ou consultado. O simples acesso ao CPF do titular não é vedado pela LGPD. 7.2.20. Logo, como plano de ação, propõe-se que a ANPD: Indique ao titular que a admissibilidade da Petição de Titular está condicionada ao titular apresentar solicitação ao controlador antes de peticionar à ANPD; Indique ao titular que ele deve identificar o agente de tratamento reclamado; Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 11 Indique ao titular que ele deve apresentar fatos e provas inteligíveis sobre a situação reclamada; Indique ao titular que ele não deve utilizar o formulário de CIS para apresentar seus requerimentos; Indique ao titular que a mera consulta de CPF nos birôs de crédito não é ilícita. 7.3. Adequação geral à LGPD 7.3.1. Os titulares requerem que a ANPD investigue controladores que não cumprem obrigações previstas na LGPD, entre elas: (i) a indicação do encarregado; (ii) a divulgação de detalhes sobre o tratamento de dados pessoais; e (iii) a adoção de medidas mínimas para segurança da informação. 7.3.2. Nota-se que os titulares estão atentos às práticas gerais de conformidade que deveriam ser adotadas pelos agentes do setor de financeiro e telecomunicações. De acordo com os requerimentos, os agentes falham em observar essas obrigações. 7.3.3. A Autoridade já elaborou diversos guias orientativos que podem auxiliar os agentes de tratamento na implementação de práticas em acordo com as obrigações previstas na LGPD. Dessa forma, há uma expectativa que os agentes cautelosos com a matéria de proteção de dados observem, no mínimo, as orientações já fornecidas pela ANPD. 7.3.4. Destacam-se, principalmente, o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado [10] , o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte [11] , e o Guia Orientativo Cookies e proteção de dados pessoais [12] . 7.3.5. Ao implementar as orientações previstas nesses guias, é provável que o agente passe a não ser objeto de requerimentos relacionados aos requisitos de segurança mínimos aplicados, à dificuldade do titular de encontrar o contato do encarregado de dados ou à falta de encarregado (2.a), e à falta de documentos de conformidade com a LGPD (2.b), como a Política de Cookies. 7.3.6. Logo, como plano de ação, propõe-se que a ANPD desenvolva medidas educativas para que os agentes de tratamento: Observem as obrigações previstas na LGPD e as orientações já fornecidas pela ANPD por meio dos Guias Orientativos. 7.4. Adequação às dificuldades de concretização de direitos dos titulares 7.4.1. O art. 18, §1º, da LGPD, determina direito de o titular de dados pessoais peticionar em relação aos seus dados contra o controlador perante a Autoridade Nacional. Como consequência, o art. 55-J, V, da LGPD, prevê a competência desta ANPD apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação. 7.4.2. Assim, além da obrigação de os controladores atenderem os pedidos dos titulares para exercerem seus direitos, cabe à ANPD receber petições dos titulares que indiquem uma eventual dificuldade em exercer seus direitos, após contato insatisfatório com o controlador. É necessário que os controladores atuem em conformidade com a LGPD, especialmente diante dos pedidos de exclusão de dados, acesso a dados, informação sobre o tratamento, correção e confirmação, já que foram as espécies de direitos mais solicitadas pelos titulares. 7.4.3. Logo, como plano de ação, propõe-se que a ANPD desenvolva medidas educativas para que os agentes de tratamento: Observem as obrigações previstas na LGPD e as orientações já fornecidas pela ANPD por meio dos Guias Orientativos; Respondam os pedidos dos titulares em tempo hábil e de maneira satisfatória e completa; Garantam as informações necessárias sobre o tratamento de dados, em acordo com o art. 9º da LGPD; Permitam que os titulares de dados exerçam as espécies de seus direitos, em acordo com o previsto na LGPD. 7.4.4. Adicionalmente, propõe-se que a ANPD regulamente os prazos e os termos para execução dos direitos dos titulares, em acordo com o art. 18, §5º, da LGPD, medida já prevista no item 2 da Agenda Regulatória 2023-2024. 7.5. Adequação no compartilhamento de dados pessoais 7.5.1. O compartilhamento de dados foi um dos padrões mais frequentes nos casos analisados. O mapeamento desses casos ocorreu tanto na classificação do código específico (3.a – Compartilhamento indevido, e 3.b – Acesso indevido a dados), quanto como pressuposto para padrões percebidos em outros requerimentos (9.a – Comunicação indesejada, 9.c.VIII – Contratação desconhecida, 9.c.IV – Suposto vazamento, 9.c.V – Pessoa se passa por representante de controlador). 7.5.2. Estes requerimentos tangenciam o compartilhamento de dados, não sendo objeto principal do pedido à ANPD, porém esse tratamento está associado ou é pressuposto para os outros padrões, como a comunicação indesejada feita por agente de tratamento que não possui relação com o titular, mas que recebeu dados de outro agente de tratamento. Ainda, o suposto vazamento de dados indicado pelo titular pode ser consequência do compartilhamento de dados e não da ocorrência de um incidente de segurança. 7.5.3. Em regra, os requerimentos indicavam para um compartilhamento de dados sem que o titular soubesse desse tratamento. Outros requisitos para compartilhamento também estão previstos na LGPD e devem ser observados pelos controladores de dados, tanto aquele que compartilha dados quanto aquele que recebe os dados compartilhados. 7.5.4. No entanto, o titular enfrenta dificuldade para demonstrar o agente que compartilhou seus dados. Nesse sentido, é relevante destacar a competência da ANPD para realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização sobre caso de tratamento de dados realizado em descumprimento à legislação (art. 55-J, XVI, LGPD). 7.5.5. Logo, como plano de ação, propõe-se que a ANPD desenvolva medidas educativas para que os agentes de tratamento: Observem as obrigações previstas na LGPD para compartilhamento de dados com outros controladores, em especial: Observem os princípios e direitos dos titulares por parte de todos os controladores que compõem a cadeia de tratamento de dados pessoais; Definam a base legal para compartilhamento, em acordo com os art. 7º e 11 da LGPD; Informem o titular acerca do uso compartilhado de dados pelo controlador e a finalidade, em acordo com o art. 9º, V, da LGPD. 8. ENCAMINHAMENTOS 8.1. Sugere-se o encaminhamento desta Nota Técnica à ANATEL, à SENACON e ao Banco Central do Brasil para ciência e possível atuação conjunta para a construção de soluções que minimizem o volume de comunicações indesejadas no setor de telecomunicações e financeiro, respectivamente. 8.2. Quanto aos requerimentos relacionados à fraude, esta CGF está conduzindo o processo SUPER nº 00261.001688/2022-98 a fim de analisar os requerimentos em que os titulares relatam que, antes mesmo de ter conhecimento da concessão de um benefício pelo INSS, recebem inúmeros contatos não solicitados de instituições financeiras que lhes oferecem empréstimos consignados. Este processo leva em consideração casos de fraude, contratações não conhecidas e transações não autorizadas pelo titular no setor financeiro, que inclusive envolve diálogo com instituições bancárias e correspondentes bancários. Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 12 8.3. Sugere-se o encaminhamento desta Nota Técnica ao Grupo de Trabalho dedicado ao estudo e à elaboração de um plano institucional de ações educativas sobre proteção de dados pessoais e da privacidade, no âmbito da Autoridade Nacional de Proteção de Dados, instituído pela Portaria ANPD nº 56, de 19 de abril de 2023, no processo SUPER nº 00261.000997/2023-21. É possível que as propostas de plano de ação nesta Nota subsidiem a atuação do Grupo de Trabalho. 8.4. Considerando que esse tema está previsto na Agenda Regulatória para o biênio 2023-2024[13], sugere-se o encaminhamento desta Nota Técnica à Coordenação-Geral de Normatização para ciência da forma como os titulares estão utilizando para concretizar seus direitos e, com isso, auxiliar na elaboração de norma sobre os direitos dos titulares. . 8.5. Sugere-se a divulgação recorrente nas mídias da ANPD sobre os novos formulários de requerimento e texto no site da ANPD a fim de aumentar o alcance das informações preparadas a título de medidas educativas evidenciadas. Além disso, outros meios podem auxiliar a conscientização dos titulares, como vídeos curtos e imagens. 8.6. Sugere-se a adoção de ações educativas, pela ANPD, conforme o [item 7.1.10] , [item 7.2.20] e [item 7.4.4] . 8.7. Sugere-se, para o próximo Relatório de Ciclo de Monitoramento, a revisão dos requerimentos recebidos em 2023, especificamente nesses setores, com a finalidade de avaliar se os novos formulários e as novas instruções que serão disponibilizadas no sítio eletrônico da ANPD trarão efeitos efetivos com relação à informação e conscientização dos titulares acerca de seus direitos relacionados à LGPD. TATIANA BORGES DA SILVA Autoridade Nacional de Proteção de Dados CAMILA FALCHETTO ROMERO Chefe da Divisão de Monitoramento FABRÍCIO GUIMARÃES MADRUGA LOPES Coordenador-Geral de Fiscalização ____________________________ [1] Esta Nota Técnica foi elaborada com a participação de Eduarda Costa Almeida, assistente nesta Coordenação-Geral de Fiscalização. [2] Disponível em: . [3] Disponível em: . [4] Disponível em: . [5] Disponível em: . [6] Disponível em: . [7] Disponível em: . [8] Disponível em: . [9] Disponível em: . [10] Disponível em: . [11] Disponível em: . [12] Disponível em: . [13] Disponível em: . Documento assinado eletronicamente por Fabricio Guimarães Madruga Lopes, Coordenador(a)-Geral, em 21/06/2023, às 18:49, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 . Documento assinado eletronicamente por Camila Falchetto Romero, Chefe de Divisão, em 22/06/2023, às 15:33, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 . Documento assinado eletronicamente por Tatiana Borges da Silva, Assessor(a) Técnico(a), em 22/06/2023, às 15:40, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 . A autenticidade do documento pode ser conferida informando o código verificador XXX e o código CRC XXX no site: https:// super.presidencia.gov.br/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 Referência: Processo nº 00261.000403/2023-82 SUPER nº 4161316 Nota Técnica 19 (4161316) SEI 00261.000403/2023-82 / pg. 13 XXX

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.