AANPD (Autoridade Nacional de Proteção de Dados) publicou na segunda-feira passada (27/02) o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Essa norma, bastante aguardada pelo mercado, dá segurança jurídica para a atuação sancionadora da ANPD. Na prática, a autarquia federal passa a ter todos os instrumentos necessários para aplicação de punições previstas na LGPD (Lei Geral de Proteção de Dados) para empresas e órgãos públicos que descumprirem essa legislação.
As empresas em conformidade com a LGPD, em vigor desde setembro de 2020, e que contam com um programa de conformidade em proteção de dados não têm motivos para temer a atuação sancionadora da ANPD. “Essas organizações perceberam há muito tempo que estar em conformidade com a legislação de proteção de dados é também estar em dia com as boas práticas de governança. No contexto econômico atual, em que as empresas fazem negócios com outras no país todo e em outros países, a conformidade é uma necessidade para se manterem competitivas”, diz Marcos Sêmola, sócio da EY para consultoria em cibersegurança. “Há quase 140 leis de privacidade no mundo, incluindo o GDPR, regulamento de proteção de dados em vigor na União Europeia, o que evidencia a relevância do tema”. A privacidade é exigência global, e as empresas têm demandado trabalhos de harmonização entre as leis vigentes em diferentes países para que seus programas sigam as melhores práticas regulatórias.
Não basta, portanto, fazer uma primeira adequação à LGPD e considerar que isso seja suficiente. “O programa de conformidade faz com que a empresa, o agente de tratamento, revisite constantemente suas práticas, com base nas leis vigentes e naquelas que venham a ser aprovadas”, afirma Sêmola. “Há uma equipe dedicada, que promove treinamentos de conscientização sobre como fazer o tratamento adequado dos dados pessoais, além de monitorar diariamente se a empresa continua no caminho da conformidade”. Esse time é comandado pelo Encarregado de Proteção de Dados ou DPO (Data Protection Officer), denominação utilizada internacionalmente.
A dosimetria definida pela ANPD torna mais completo o cenário brasileiro de regulação de dados pessoais, na medida em que define as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, entre outros aspectos, o dano ou prejuízo causado aos titulares de dados pelo descumprimento da LGPD. A dosimetria pode ser explicada como o método que orienta a escolha da sanção mais apropriada para cada caso em que houver violação à LGPD, permitindo, ainda, calcular o valor da multa aplicável ao infrator. Nos últimos meses, conforme observa Sêmola, houve diversos avanços legislativos como a constitucionalização da proteção de dados pessoais, que se tornou um direito fundamental, e a transformação da ANPD em autarquia federal, deixando assim de estar vinculada à Presidência da República.
Incidentes de segurança da informação
O ransomware está entre os incidentes de segurança da informação mais comuns no mundo. O Brasil é o quarto maior alvo desse tipo de ataque, atrás somente dos Estados Unidos, do Reino Unido e da Espanha, de acordo com relatório recente de ameaças cibernéticas divulgado pela SonicWall.
O ataque de ransomware envolve o sequestro de dados. Isso ocorre quando o criminoso ou grupo criminoso tem acesso a dados sensíveis de uma empresa, criptografando-os na sequência e tornando-os inacessíveis. A impossibilidade de acesso a esses dados interrompe as atividades corporativas, o que produz efeitos, que podem ser financeiros (com perda de receita), reputacionais (exposição resultante do incidente abala a reputação) e operacionais (comprometimento da produção ou do serviço prestado).
“A melhor maneira de se proteger é se preparar para o pior cenário possível por meio do desenvolvimento de uma estrutura de governança de riscos. Essa estratégia dá para a empresa aquilo que chamamos de resiliência cibernética”, finaliza Sêmola.