Já sabemos há muito tempo que invasões e ataques com vazamento de dados de uma empresa levam a males, como manchar a reputação da mesma, a chantagens que tem aumentado muito, levam a golpes e fraudes, atingem clientes, afetando diretamente ao negócio.
Além disso a nova lei de proteção de dados, a LGPD vem preocupar.
Desde esse domingo, agora, as empresas já vivem dentro de suas novas regras, e qualquer empresa poderá ser autuada por denúncias, fiscalização e auditorias da ANPD (Autoridade Nacional de Proteção de Dados) – autarquia federal.
A nova lei obriga a toda empresa, independente de segmento e porte a se tornar mais responsável com dados pessoais dos indivíduos, que estão sob sua tutela e de seus operadores.
Ainda em 2019 apostava-se que esta lei de controle da privacidade de dados dos indivíduos não vingaria, ou não iria ser colocada em prática.
Passou a vigorar em 2020, e suas penalidades passaram a valer neste início de agosto de 2021.
As atividades da ANPD vêm se fortalecendo com a inteligente união a outros órgãos fiscalizadores que darão maior capilaridade para responder às necessidades dos cenários de invasões com vazamentos, bem como às denúncias que já vinham ocorrendo antes da vigência das penalidades.
Denuncias e ações judiciais vinham ocorrendo por força de outros ramos do direito, como o trabalhista e o do consumidor, com penalidades que poderão vir também agora pela ANPD.
E vamos aqui iniciar o desdobramento das possíveis penalidades e suas atenuantes.
Como dito acima, a penalidade não virá apenas através de vazamentos de dados que ocorram numa empresa, ou pela auditoria espontânea por parte da ANPD. Denuncias ocorrerão, como já vimos ocorrer em outros países.
PENALIDADES
Quais seriam essas penalidades?
Temos a partir de agosto penalidades administrativas e multas, aplicadas exclusivamente pela ANPD.
• Haverá advertência à empresa, com definição de prazo para adoção de medidas corretivas.
• No lado das multas temos multa pecuniária de até 2% do faturamento bruto anual da empresa – até o limite de R$ 50 milhões por infração. Sim, por infração, podendo ter várias infrações cometidas. Também poderá ocorrer multa diária observado o limite acima.
• Outra penalidade muito grande é a Publicização da infração (fazer a publicidade) que se tornará pública, trazendo prejuízo à imagem da empresa. Isto demonstrará o descuido da empresa com relação aos dados de seus clientes, colaboradores e outros.
• Diferentes sanções aparentemente menores, mas que consideramos tão complexas para a operação de um negócio – o bloqueio ou exclusão de dados pessoais. Essa sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar. O que pode demandar meses até.
Essas três ultimas acreditamos sejam tão graves quanto a multa pecuniária.
• A suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
• A suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.
• A proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Considere parar a sua operação da empresa, o que significa para sua empresa e negócio? Seria melhor a multa?
Quais os RISCOS?
Há muitos envolvidos, mas cremos que poderão aqui pesar forte.
Nossa lei sendo ainda recente para se avaliar, mas podemos ter alguma ideia pela lei europeia.
Na União Europeia, empresas podem ser penalizadas com uma multa de 20 milhões de euros ou até 4% do faturamento, aquilo que for maior. A British Airways teve um prejuízo de 183 milhões de euros pelo mau uso de dados.
Na Alemanha houve multa de 1,5 mil dólares para policial que utilizou, para fins pessoais, a placa de carro de um cidadão para encontrar o número telefônico dele. Ou seja, não apenas grandes empresas que chamam atenção com seus erros foram penalizadas.
Aqui uma pessoa que faça uso de dados pessoais de terceiros, mesmo que não tenha seu negócio formalizado, sendo invadida, ou mesmo identificada como fazendo uso errôneo de dados pessoais poderá sofrer as mesmas penalidades de uma empresa, considerando a proporcionalidade do seu negócio.
Como já mencionado os riscos por enquanto são:
• Empresa não tendo seus processos de negócio, dados e sistemas, sites, infraestrutura resguardada com proteção e segurança conforme o que preconiza a Lei.
• Empresa sofrendo invasão com vazamento de dados, mesmo que comunicando à Autoridade Nacional.
• Empresa não adequada aos ditames da nova lei, ou ainda ter se adequado de modo equivocado.
• Empresa sendo denunciada por não ter se adaptado à Lei, por ter processos de negócio inadequados e seguros, tratamentos inadequados;
• Empresas que mesmo iniciando não tendo um encarregado de proteção de dados, por não ter adotado medidas e soluções cabíveis à segurança e proteção de dados e da sua infraestrutura tecnológica.
Já começaram denúncias de vários organismos contra empresas que já foram multadas, mesmo antes de agosto.
MITIGAÇÕES
Como ocorreu na Europa, mitigação pode ser a melhor palavra nos cenários acima.
As autoridades de lá avaliaram se havia esforço e empenho em se adequar a empresa e colocar toda a operação em modo seguro e protegido.
Sabemos por várias pesquisas (Verizon 2017 a 2021) que o vazamento de dados pessoais ocorreram por invasões através de Ataques de força bruta, furto, phishing em cima das Credenciais (login e senha). Portanto, adotar soluções realmente seguras é um ponto de mitigação.
Adotar soluções que efetivamente protejam as bordas e toda a infraestrutura tecnológica, mesmo nesses cenários de home office, como seriam as soluções Zero Trust, também seria outro ponto de mitigação.
Empresas que comprovem que iniciaram seus projetos de adequação à LGPD bem antes de 2020, já empresas atrasadas tem um índice de mitigação reduzido, e quanto mais tempo passa pior deverá ficar numa auditoria.
Com já deu para perceber este é um trabalho que tem uma certa complexidade, que exige especialistas que ainda vem acompanhando as mudanças de legislação, mudanças nos cenários de cibersegurança mundial e brasileiro e acompanhando o real desenvolvimento da ANPD.
Coluna Gestão e Cibersegurança – Márcio Zilli
Experiência (37 anos) em grandes e médias empresas, Vivência em gestão de alta performance, focado em liderar times em busca de melhores resultados. Trabalhou em empresas como Pirelli, Vasp, O Estado de S.Paulo, OI telecom, Via Varejo, entre outras.
Graduado em Administração de empresas e especialista em Gestão de processos, Sistemas e Tecnologia da Informação.
Atualmente com os pés e a cabeça em LGPD – Privacidade, Cibersegurança e Gestão e Segurança de credenciais, PCN, Gestão estratégica, Diagnóstico de problemas potenciais, Escritório de processos de negócios.
