Nesta sexta-feira (28), é lembrado o Dia Internacional da Proteção de Dados, que foi instituído em 26 de abril de 2006 pelo Comitê de Ministros do Conselho da Europa (CE). No Brasil, a data vem sendo promovida pela recém-criada Autoridade Nacional de Proteção de Dados (ANPD).
Sancionada pela Lei n° 13.709/2018, a entidade é responsável por fiscalizar, orientar, atuar de maneira preventiva e punir violações à Lei Geral de Proteção de Dados (LGPD). A pedido do TecMundo, a ANPD informa que, apesar de ter havido aplicação de sanções em 2021, foram instaurados 27 processos de fiscalização, sendo que alguns ainda seguem em andamento. A maior parte dos processos encontra-se na fase de conclusão da instrução ou aguardando análise pela Coordenação-Geral de Fiscalização.
A entidade revela que, dentre os processos que podem ser citados, estão o da análise da mudança na Política de Privacidade do WhatsApp. “Entre os processos não estão considerados aqueles relativos aos incidentes de segurança notificados pelos controladores à ANPD. No que se refere aos incidentes de segurança, as investigações pela ANPD tramitam protegidas por segredo comercial e industrial, por força de lei”, explicou a entidade em nota.
De acordo com a ANPD, em relação às denúncias e petições enviadas por pessoas físicas, que sentiram haver violações da privacidade, a agência identificou que a maior parte foi relacionada à exposição indevida de dados pessoais, principalmente na internet.
Leia também: BRATA: malware para Android rouba dados e reseta o celular
“Já no que se refere a incidentes de segurança, a principal irregularidade percebida é a resistência em comunicar aos titulares de dados o incidente e as possíveis consequências que podem afetar o titular”, segundo explicação de outro trecho da nota.
A entidade também pontua que não é raro perceber companhias que têm dificuldade na adoção de medidas de segurança, técnicas e administrativas, adequadas à correta aplicação da LGPD e aptas a proteção dos dados pessoais contra incidentes.
A lei permite que, além das advertências, que indicam prazos para adequação, a instituição tem “poder de polícia”, podendo aplicar multas de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil. Em valor, cada infração pode ser de no máximo R$ 50 milhões, o que ainda não ocorreu.
Fiscalização ainda no início
Luiza Leite, que é advogada com experiência em Direito Digital com foco em proteção de dados e privacidade, explica ao TecMundo que, nos anos anteriores, a ANPD passou por uma estruturação. O período serviu para que a instituição planejasse uma sistemática de fiscalização, dosimetria (cálculo sobre o tempo das penas), formando um colegiado de dirigentes.
“Os anos de 2020 e 2021 serviram mais para montar esse arcabouço regulatório do que para autuar [as empresas]. Por causa disso, 2022 deve ser o primeiro grande ano de fiscalização do órgão. Atualmente, a agência já tem toda a parte de regulamento para que ela possa aplicar todas as sanções que são previstas na LGPD”, afirmou Leite.
A especialista lembra que apesar do fato de que a ANPD ainda não começou a penalizar com sanções, existe a possibilidade de penas retroativas, ou seja, companhias que burlaram a lei de proteção de dados desde agosto do ano passado podem ser punidas e responsabilizadas daqui para a frente.
“No Brasil, nós temos órgãos correlatos que realizam um trabalho de inspeção. É o caso do Ministério Público, Procon, Bacen [Banco Central] e Susep [Superintendência de Seguros Privados], por exemplo, que dentro de seus escopos conseguem exigir um nível de conformidade das empresas”, explicou a advogada.
Do outro lado, a especialista lembra que, apesar de estar em vigor desde setembro de 2020, muitas instituições ainda não estão preparadas para a LGPD. “A lei é um grande incentivo para que as empresas comecem essa movimentação, mas muitas companhias não têm implementado essas mudanças no dia a dia e continuam tratando de forma indevida os dados”, ela disse.
"[...] muitas companhias não têm implementado essas mudanças no dia a dia e continuam tratando de forma indevida os dados.”
“Não adianta termos toda essa estrutura e não fazermos o ‘dever de casa’. O poder público estar adequado é um primeiro passo, mas é preciso ação do setor privado também. Se não houver essa colaboração, a LGPD pode acabar caindo em desuso”, alertou a advogada.
Cibersegurança como aliada
Arthur Capella, country manager da Tenable, empresa de cyber exposure, defende ao TecMundo que o país tem feito um importante trabalho no quesito de proteção de dados. Ele lembra que a formação do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), em novembro de 2021, foi essencial para fomentar o debate sobre o assunto.
O CNPD é composto de membros da sociedade e do poder público e tem entre as atribuições: disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; elaborar estudos e realizar tanto debates como audiências públicas sobre a proteção de dados pessoais e da privacidade.
Apesar dos avanços, assim como Leite, Capella cita que é preciso haver uma mudança cultural para que os brasileiros estejam mais seguros em relação às informações pessoais.
“É preciso um esforço complementar em duas direções. A primeira é uma maior conscientização das pessoas físicas, as donas dos dados, que precisam ter cuidado com as suas informações. Em paralelo, é importante trabalhar junto de empresas públicas e privadas para que elas invistam mais na proteção dos dados que elas têm. Cibersegurança e proteção de dados são temas diferentes, mas precisam andar de 'mãos dadas'”, argumentou Capella.
O executivo faz a correlação com segurança digital porque estruturas ruins de proteção acabam expondo bancos de dados de usuários. Nesse sentido, o último Relatório de Vulnerabilidade Tenable mostrou que somente em 2020 foram encontradas 18,3 mil novas brechas que poderiam ser exploradas por atacantes.
Por causa disso, Capella defende que ainda é preciso melhorar a maturidade da cultura cibernética. Aliada à LGPD e a novas entidades de proteção de dados, o país poderá garantir uma maior salvaguarda para as informações dos brasileiros, segundo ele.
Desafios da ANPD para 2022
O TecMundo também questionou a ANPD de qual é o balanço da entidade sobre o trabalho de proteção de dados até aqui. A nota da autoridade defende que os dirigentes acreditam que 2021 foi “positivo”. A justificativa é que, em pouco mais de 1 ano, a ANPD já realizou 15 Circuitos Deliberativos, publicou 17 Portarias, celebrou 4 Acordos de Cooperação Técnica, publicou 6 materiais educativos entre guias, cartilhas, fascículos e artigos (junto a parceiros) e mais.
Sobre as dificuldades de fiscalização e proteção dos dados pessoais em 2022, a agência diz que “encara como oportunidades”. Apesar disso, a organização deixa claro que pode sofrer com as demandas, porque a infraestrutura e o número de funcionários não é o ideal.
Parte da diretoria da ANPD durante uma reunião.
“Nosso maior desafio será a melhoria da estrutura organizacional, por meio da alteração da natureza jurídica em entidade da administração pública federal indireta, submetida a regime autárquico especial, na busca de maior autonomia e confiança da sociedade e de organizações internacionais, e o incremento do nosso quantitativo de pessoal, pois atualmente contamos com pouco mais de 60 servidores, além de uma infraestrutura física e operacional adequada para acomodá-los”.
Por último, a ANPD pontua que será desafiada ano após ano a zelar pela proteção dos dados particulares dos brasileiros, já que cada vez mais a sociedade “está conectada e os recursos digitais e tecnológicos se desenvolvem”.
Fontes