A ANPD (Autoridade Nacional de Proteção de Dados) é responsável por fiscalizar e aplicar sanções em casos de violações à Lei Geral de Proteção de Dados (LGPD). Portanto, uma empresa pode ser processada pela ANPD quando comete alguma infração ou irregularidade prevista na lei.
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, no dia 23 de março e atualizou no dia 04 deste mês, a lista dos 8 primeiros processos administrativos sancionadores. A lista dos processos, ainda não concluídos, contém o nome do órgão público ou empresa privada (entre eles 6 públicos e 1 privado) a conduta realizada, o setor de atuação do ente fiscalizado, a fase em que se encontra o processo e o número do processo aberto na ANPD.
Os processos foram estabelecidos para investigar condutas que afrontaram as regras de proteção de dados, dispostas na LGPD. A ausência de medidas de segurança (21% do total), o não atendimento a requisições da Autoridade (21%) e a não comunicação de incidente de segurança ao titular dos dados (16%) formam a maior parte das infrações.
As informações sobre quais sanções serão aplicadas para cada caso somente se tornarão públicas após a conclusão da investigação, que confirme que a conduta do agente resulta ou não em uma infração de fato, respeitados os direitos de ampla defesa e do contraditório. A mesma lógica vale para o acesso aos documentos dos processos sancionadores pendentes de decisão.
Em evento realizado pela Fiesp, Miriam Wimmer, Diretora da ANPD, destacou que não existe blindagem digital, portanto, incidentes podem ocorrer e que isso por si só não gera sanção, pois não é um descumprimento da lei. Assim, o que a Autoridade irá analisar serão as medidas preventivas de segurança cibernéticas adotadas antes e após o problema, sendo que as tratativas de mitigação resultarão em condutas proativas e demonstração de boa-fé por parte do agente de tratamento.
Fabrício Guimarães, Coordenador-Geral de Fiscalização da ANPD, informou que a existência de um processo administrativo sancionador não significa condenação ou pré-condenação, de modo que a divulgação das demandas, pela Autoridade, trata-se de mero cumprimento à Lei de Acesso à Informação.
Ainda que a norma preveja a aplicação de multa de até R$ 50 mil, a Autoridade atua a partir de uma abordagem responsiva, possibilitando às empresas se adequarem à legislação, uma vez que levar o regulado à conformidade é um ato efetivo e imediato ao titular dos dados. Ele explica que a aplicação de uma sanção administrativa é considerada uma derrota nesse processo e que as condutas só chegam à apreciação da autoridade após o titular já ter buscado seus direitos junto ao controlador e não obtido resposta.
Nesse sentido, além das medidas necessárias à segurança dos dados, é importante que o controlador mantenha ativo, e rotineiramente verificado, o endereço de correio eletrônico do encarregado de proteção de dados, que deve ser divulgado publicamente, pois este é o meio de comunicação entre os titulares, a ANPD e o controlador. Atenta-se para o fato de que a manutenção desse canal é uma obrigação legalmente imposta ao agente de tratamento.
A segurança da informação é um tema crítico para as empresas, independentemente do setor em que atuam. Abaixo, práticas relevantes sobre segurança da informação que as empresas devem se preocupar.
- Política de segurança da informação: estabelece as diretrizes, responsabilidades e procedimentos que a empresa deve seguir para proteger suas informações.
- Treinamento de conscientização em segurança da informação: fornece aos colaboradores informações sobre os riscos e as melhores práticas de segurança da informação, a fim de conscientizá-los sobre a importância da proteção de dados.
- Controles de acesso: o controle de acesso é essencial para garantir que apenas pessoas autorizadas tenham acesso a informações sensíveis da empresa.
- Gerenciamento de senhas: é importante que a empresa estabeleça políticas de senhas fortes e alteração regular das senhas para evitar acesso não autorizado.
- Backup e recuperação de dados: a empresa deve ter um plano de backup e recuperação de dados para garantir que os dados importantes possam ser restaurados em caso de perda ou corrupção.
- Prevenção contra malware: as empresas devem implementar medidas de prevenção contra malware, como antivírus e firewalls, para evitar ataques cibernéticos.
- Monitoramento de segurança: é importante que a empresa monitore continuamente sua infraestrutura de TI para identificar e responder rapidamente a quaisquer ameaças de segurança.
- Política de uso aceitável: estabelece o que é permitido e o que é proibido em termos de uso da tecnologia e recursos de informática da empresa.
- Criptografia de dados: as empresas devem considerar a criptografia de dados para proteger informações sensíveis armazenadas ou transmitidas eletronicamente.
- Gestão de incidentes de segurança: a empresa deve ter um plano de resposta a incidentes de segurança para lidar com violações de segurança de dados, minimizando danos e reduzindo a exposição a riscos futuros.
O que leva a organização a ser processada pela Autoridade Nacional de Proteção de Dados é sua total inércia na busca pela conformidade com as regras estampadas na LGPD e demais normas de privacidade e proteção de dados e, sobretudo, a indiferença no atendimento aos direitos do titular. É importante que as empresas estejam cientes das obrigações e responsabilidades previstas na LGPD e implementem medidas adequadas para garantir a proteção dos dados pessoais dos titulares, evitando assim processos e sanções aplicadas pela ANPD.
Fonte: Assespro-RS e ANPD.