Nas últimas semanas, a Autoridade Nacional de Proteção de Dados (ANPD) tornou pública a relação de empresas públicas e privadas que estão respondendo a processos administrativos sancionadores. A lista contempla o nome, o setor de atuação, a fase atual e o número do processo. A sanção aplicada, por sua vez, será publicada apenas com a conclusão de cada investigação.
Dos oito processos listados, em cinco deles verifica-se um item em comum para a possível aplicação de penalidade: “não atendimento à requisição da ANPD”. É interessante, do ponto de vista operacional, ver esse cenário se desenhando.
Apesar da lei estar em vigor desde setembro de 2020, cada empresa está em um momento muito próprio de sua linha de tempo. Desde aquelas que não fizeram absolutamente nada; as que se propuseram a uma adequação “pró-forma”; até as mais diligentes, efetivamente avançadas em suas iniciativas, demonstrando maturidade e responsabilidade em sua gestão de riscos. Mesmo na última classificação ainda remanesce e sempre remanescerá um risco de vazamento de dados. É por isso que o incidente cibernético já ganha, pelo segundo ano consecutivo, a posição de maior ameaça para as empresas do mundo todo em 2023, conforme o Barômetro de Riscos publicado pela Allianz.
Para o primeiro e segundo grupos, pelo volume de vezes em que o termo “não atendimento à requisição da ANPD” se repete nos processos instaurados, dá para concluir que a Autoridade até está dando uma oportunidade para que a empresa demonstre conformidade, mas não está aceitando muito bem a negativa. Vale ressaltar que, após um longo processo de regulamentação, as multas e sanções podem ser retroativas para casos ocorridos a partir de 1º de agosto de 2021, quando as sanções administrativas da LGPD passaram a ser exigíveis.
O aumento de riscos de ataques cibernéticos no setor de saúde também reflete nos processos instaurados: metade das investigações são com organizações da área de saúde, sendo o Ministério da Saúde citado duas vezes, seguido da Secretaria de Estado da Saúde de Santa Catarina e o IAMSPE (Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo). Além disso, dos oito processos em andamento, sete envolvem instituições públicas, demonstrando que a ANPD manterá seu posicionamento rigoroso diante do poder público. Embora a ANPD não possa aplicar multa aos agentes públicos, sua fiscalização tem acesso a outros instrumentos de sanção de advertência com adoção de medidas corretivas como a solicitação de responsabilização de dirigentes dos órgãos governamentais.
Apesar da predominância do setor público nos desdobramentos iniciais, a exigência do mercado por melhorias na maturidade no quesito de proteção e governança de dados das empresas privadas de quaisquer portes será cada vez maior. Durante uma live, o coordenador-geral de fiscalização da ANPD, Fabricio Lopes, já deixou claro que também concentrará esforços em empresas de menor porte, como as startups, que trabalham com alto volume de dados.
O setor bancário também deve ganhar destaque nesse cenário enquanto maior alvo de ações de proteção de dados pelo Tribunal de Justiça de São Paulo (TJSP), segundo levantamento do escritório Peck Advogados. Desde o período de vigência da LGPD, as instituições financeiras foram acionadas em 53% dos processos.
A divulgação de investigados pela ANPD reforça que a infração da LGPD vai além do impacto financeiro e traz grandes prejuízos à reputação. Com a publicização dos infratores, a fiscalização se torna mais palpável para as organizações que ainda não se adaptaram a essa nova realidade.
Mas o fato é: se depois de mais de dois anos a empresa não consegue demonstrar sequer que está trilhando um caminho no sentido de prover um ambiente mais seguro para operar com dados pessoais, suas consequências irão escalar em breve.
Simone Santinato, DPO da NovaRed Brasil.
Fonte: TI Inside