A Lei Geral de Proteção de Dados é uma legislação complexa, de auto impacto para as organizações brasileiras e que pode mexer até em modelos de negócios. Ela exige uma visão estratégia da empresa sobre o uso e a proteção de dados pessoais com uma extensa lista de conformidade. Hoje, ela está totalmente vigente, mas ainda gera inúmeras dúvidas no processo de adequação.
O tema é tão importante que a advogada especialista em direito digital e CEO da Peck Advogados, Patricia Peck, detalhou o cenário da LGPD, inclusive com as sanções administrativas em vigor, durante o Security Leaders. Na visão de Patrícia, que é uma das conselheiras titulares do Conselho Nacional de Proteção de Dados, o cenário de ataques cibernéticos no Brasil é muito preocupante e exige seriedade na condução das respostas a incidentes.
“Estamos vivendo no Brasil um apagão de segurança digital, um momento extremante crítico, com ataques centrados em diversos setores, do financeiro e industrial, ao de saúde e órgãos governamentais. As ações direcionadas de ataques e fraudes estão cada vez mais sofisticadas, tanto que 2021 virou o ano do ransomware”, pontua a especialista durante a palestra de abertura do segundo dia do Security Leaders Sul.
E esse avanço dos ciberataques impacta diretamente nas sanções administrativas vigentes desde 1 de agosto de 2021, ou seja, um incidente pode gerar multa de 2% do faturamento, podendo chegar até R$ 50 milhões. De acordo com Patrícia, existem medidas que já estão sendo feitas unindo esforços entre DPO, CISO e CIO para criar evidências. Em caso de incidente, a empresa terá como comprovar que fez uso das melhores práticas de mercado, tomando medidas necessárias segundo os requisitos de segurança da LGPD.
Em caso de incidente, a legislação pode aplicar medidas técnicas e administrativas de Segurança, que ainda não foram detalhadas pela ANPD. “Isso é algo que a Autoridade vai fazer com a ajuda do Conselho e espero colaborar na definição das medidas mínimas. Mas as empresas precisam adotar as melhores práticas de mercado, pois estamos falando de uma legislação de evidência”, explica Patrícia.
Segundo ela, diante de um incidente, a ANPD pode aplicar multas peculiares e não peculiares, mas a ideia, a princípio, é aplicar uma advertência e entender se o caso envolveu dano ao titular ou se foi um caso isolado que pode ser tratado entre controlador e titular.
“O importante é ter uma análise de risco de gravidade do artigo 48 que consiga avaliar se o incidente gerou dano relevante ao titular. Ou seja, precisa fazer análise rápida do incidente com prazo de 2 dias úteis para esse reporte à Autoridade se for de gravidade de dano relevante. Caso contrário, é possível dar encaminhamento interno e gerar o registro de análise do incidente. Hoje, ter esse procedimento é fundamental”, alerta Patrícia.
Judicialização
Por mais que a ANPD não tenha ainda gerado multas baseadas na LGPD, os profissionais estão preocupados e Patrícia destaca também a importância de todos entenderem como funcionam as sanções administrativas, que estão disponíveis no portal da ANPD. Segundo ela, o ponto principal de discussão não é a multa, mas os casos isolados de interpretação da lei.
“Já temos mais de 600 ações no judiciário sobre casos de titulares pedindo indenização às empresas e não é esse caminho que devemos seguir, pois quem dita a interpretação da lei deveria ser a Autoridade especializada. Após o processo administrativo, dependendo do caso, poderia ter um desfecho de um processo judicial indenizatório”, diz.
Ela ressalta que um dos grandes desafios enfrentados pelas organizações na jornada de conformidade é a nomeação do DPO, pois ainda falta clareza em como esse profissional vai atuar com os demais gestores de áreas críticas da empresa. Até mesmo nas companhias que nomearam o CISO como DPO podem enfrentar gargalos não só de conflito de interesse, mas um acúmulo de funções que pode impactar as prioridades das áreas.
“O DPO é o interlocutor principal sobre o tema de proteção de dados. Vale fazer a lição de casa, quem não tem um DPO nomeado pode usar um serviço terceirizado, o CISO também deve ajudar organizando uma sala de crise para responder rapidamente um incidente. A LGPD vai muito além de melhorar a política de segurança, é um trabalho muito estratégico e de equipe”, finaliza.
