As empresas que não têm um padrão mínimo de segurança para proteger seus dados pessoais contra acessos não autorizados estão “na mira” da Lei Geral de Proteção de Dados (LGPD). Até o próximo ano, a Autoridade Nacional de Proteção de Dados (ANPD) vai regular a implantação de padrões técnicos mínimos de segurança, situação que pode provocar correria naquelas que não estão habituadas a investir em cibersegurança. Além da possibilidade de multa por vazamento de dados pessoais, uma invasão pode acabar com a imagem de uma corporação que não esteja em conformidade com a lei e pode ocorrer um prejuízo reputacional, pois terá o rótulo de violadora da LGPD.
O “Item-18” da Agenda Regulatória 2023/2024 da ANPD prevê que, até meados do próximo ano, ela regulamenta “Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)”. A LGPD, em seu Capítulo VII, que trata sobre “Segurança e Boas Práticas”, determina no artigo 46 que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A própria lei traz a possibilidade de a ANPD dispor sobre padrões técnicos mínimos para tornar aplicável a previsão do artigo mencionado anteriormente. Diante desse quadro, que deve sofrer regulação até o próximo ano, a pergunta a ser respondida é: as empresas estão preparadas para atender os requisitos mínimos de segurança? A mesma legislação prevê que essas medidas deverão ser observadas desde a fase de concepção do produto, ou do serviço, até a sua execução, ou seja, no processo completo.
Fernando Bryan Frizzarin, especialista em cibersegurança da BluePex® Cybersecurity, explica que os requisitos mínimos de segurança são, no caso de equipamentos, um firewall bem dimensionado e corretamente configurado, além da adequada segmentação da rede. “No caso de software, um antivírus com gestão centralizada que permita o monitoramento e gestão independente de ações do usuário final”, descreveu.
A ANPD divulgou recentemente seu relatório do Ciclo de Monitoramento referente a 2022. O documento tem a função de avaliar as atividades de fiscalização realizadas no ciclo anterior, incluindo os temas prioritários, apresentando indicadores e resultados relevantes. No ano passado, a ANPD recebeu 1.045 requerimentos (entre denúncias e petições de titulares) e 287 comunicações de incidentes de segurança, além de terem sido instaurados 15 processos de fiscalização e 8 processos administrativos sancionadores.
Outro dado do Ciclo de Monitoramento que deve ter atenção é referente à “Petição de Titular”, instrumento para exercício de direito pelo titular de dados em relação ao tratamento de seus dados pessoais. Nesse sentido, os cinco segmentos mais presentes nas petições foram:
1 – Plataformas digitais
2 – Financeiro
3 – Telecomunicações
4 – Varejo
5 – Serviços
Esses setores devem ser monitorados de perto pela ANPD no próximo ciclo e empresas desses segmentos devem verificar conformidade com a LGPD.
Uma invasão pode acabar com a reputação de uma empresa?
Essa questão também é respondida no Ciclo de Monitoramento da ANPD. Conforme o relatório, entre os agentes de tratamento mais denunciados estão os órgãos públicos, sites que divulgam dados disponíveis publicamente, instituições financeiras e operadoras de telefonia.
Considerando os agentes de tratamento individualmente, o maior número de denúncias recaiu sobre um conselho de classe com sede em São Paulo. O órgão foi alvo de ataque cibernético que resultou na extração de dados pessoais dos profissionais registrados. Essa situação reforça a importância em ter um sistema de cibersegurança completo e como a ausência dele pode resultar em denúncias na ANPD.
Com essa informação em mente, e considerando que a ANPD irá regular até 2024 os padrões técnicos mínimos de segurança, as empresas devem se preparar.
Outro aspecto importante a ser observado é sobre as sanções aplicadas pela LGPD. Como divulgado amplamente pela mídia, no mês de julho deste ano a Coordenação-Geral de Fiscalização (CGF/ANPD) concluiu processo administrativo sancionador que resultou em aplicação de sanções de multa e de advertência por ofensas à LGPD para uma microempresa.
A multa pode não ser a sanção mais rigorosa, de acordo com Miriam Wimmer, diretora na ANPD. No final de agosto, ela participou do V Congresso de Segurança e Defesa Cibernética da Federação das Indústrias do Estado de São Paulo (Fiesp) e citou que a aplicação de multas é somente um dos possíveis recursos para incentivar a conformidade. “As sanções vão além das multas. Há um prejuízo reputacional – a reputação de violadora da LGPD prejudica a empresa”. Também há a possibilidade de proibição do tratamento de dados pessoais, o que inviabiliza muitos modelos de negócio.
Frizzarin explicou que essa reputação é muito mais prejudicial à imagem como um todo, inclusive para o negócio, pois há perda de confiança dos clientes, parceiros e também com os funcionários. “Isso cria um ambiente que dificulta com que as pessoas preencham cadastros, aceitem comunicações ou serviços”, completou.
Um dos sinais de que a ANPD deve vir com mais força no próximo ano é o anúncio recente do Ministério da Justiça e Segurança Pública (MJSP), que organiza edital de um concurso público para a ANPD.