Dia da Proteção de Dados: como tem sido o trabalho da ANPD?
Tecmundo
Nesta sexta-feira (28), é lembrado o Dia Internacional da Proteção de Dados, que foi instituído em 26 de abril de 2006 pelo Comitê de Ministros do Conselho da Europa (CE). No Brasil, a data vem sendo promovida pela recém-criada Autoridade Nacional de Proteção de Dados (ANPD).
Sancionada pela Lei N° 13.709/2018, a entidade é responsável por fiscalizar, orientar, atuar de maneira preventiva e punir violações à Lei Geral de Proteção de Dados (LGPD). A pedido do TecMundo, a ANPD informa que apesar de ter havido aplicação de sanções em 2021, foram instaurados 27 processos de fiscalização, sendo que alguns ainda seguem em andamento. A maior parte dos processos encontra-se na fase de conclusão da instrução ou aguardando análise pela Coordenação-Geral de Fiscalização.
A entidade revela que dentre os processos que podem ser citados estão o sobre a análise da mudança na Política de Privacidade do WhatsApp , por exemplo. “Entre os processos não estão considerados aqueles relativos aos incidentes de segurança notificados pelos controladores à ANPD. No que se refere aos incidentes de segurança, as investigações pela ANPD tramitam protegidas por segredo comercial e industrial, por força de lei”, explicou a entidade em nota.
De acordo com a ANPD, em relação às denúncias e petições enviadas por pessoas físicas, que sentiram que houve violações da privacidade, a agência identificou que a maior parte foi relacionada a exposição indevida de dados pessoais, principalmente na internet.
Leia também: BRATA: malware para Android rouba seus dados e reseta o celular
“Já no que se refere a incidentes de segurança, a principal irregularidade percebida é a resistência em comunicar os titulares de dados sobre o incidente e sobre as possíveis consequências do incidente que podem afetar o titular”, explica outro trecho da nota.
A entidade também pontua que não é raro perceber companhias que têm dificuldade na adoção de medidas de segurança, técnicas e administrativas, adequadas para a correta aplicação da LGPD e aptas para a proteção dos dados pessoais contra incidentes.
A lei permite que, além das advertências, que indicam prazos para adequação, a instituição tem “poder de polícia”, podendo aplicar multas de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil. Em valor, cada infração pode ser de no máximo R$ 50 milhões , o que ainda não ocorreu.
Fiscalização ainda no início
Luiza Leite, que é advogada com experiência em direito digital com foco em proteção de dados e privacidade, explica ao TecMundo que nos anos anteriores a ANPD passou por uma estruturação. O período serviu para que a instituição planejasse uma sistemática de fiscalização, dosimetria (cálculo sobre o tempo das penas), formasse um colegiado de dirigentes e mais.
“Os anos de 2020 e 2021 serviram mais para montar esse arcabouço regulatório do que para autuar [as empresas]. Por causa disso, 2022 deve ser o primeiro grande ano de fiscalização do órgão. Atualmente a agência já tem toda a parte de regulamento para que ela possa aplicar todas as sanções que são previstas na LGPD”, afirmou.
A especialista lembra que apesar do fato de que a ANPD ainda não começou a penalizar com sanções, existe a possibilidade de penas retroativas. Ou seja, companhias que burlaram a lei de proteção de dados desde agosto do ano passado podem ser punidas e responsabilizadas daqui para frente.
“No Brasil, nós temos órgãos correlatos que realizam um trabalho de inspeção. É o caso do Ministério Público, Procon , Bacen [Banco Central] e Susep [Superintendência de Seguros Privados], por exemplo, que dentro de seus escopos conseguem exigir um nível de conformidade das empresas”.
Do outro lado, a especialista lembra que apesar de estar em vigor desde setembro de 2020, muitas instituições ainda não estão preparadas para a LGPD. “A lei é um grande incentivo para que as empresas comecem essa movimentação, mas muitas companhias não têm implementado essas mudanças no dia a dia e continuam tratando de forma indevida os dados”, disse.
“Não adianta termos toda essa estrutura e não fazermos o ‘dever de casa’. O poder público estar adequado é um primeiro passo, mas é preciso ação do setor privado também. Se não houver essa colaboração, a LGPD pode acabar caindo em desuso”, alerta a advogada.
Cibersegurança como aliada
Arthur Capela, country manager da Tenable, empresa de cyber exposure, defende ao TecMundo que o país tem feito um importante trabalho no quesito de proteção de dados. Ele lembra que a formação do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), em novembro de 2021, será essencial para fomentar o debate sobre o assunto.
O CNPD é composto por membros da sociedade e do poder público e tem entre as atribuições: disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade e elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade.
Apesar dos avanços, assim como a doutora Luiza Leite, Capela cita que é preciso haver uma mudança cultural para que os brasileiros estejam mais seguros em relação às informações pessoais.
“É preciso um esforço complementar em duas direções. A primeira é uma maior conscientização das pessoas físicas, as donas dos dados, que precisam ter cuidado com as suas informações. Em paralelo, é importante trabalhar junto com empresas públicas e privadas para que elas invistam mais na proteção dos dados que elas possuem. Cibersegurança e proteção de dados são temas diferentes, mas precisam andar de mãos dadas”, argumenta.
O executivo faz a correlação com segurança digital porque estruturas ruins de proteção acabam expondo bancos de dados de usuários. Neste sentido, o último Relatório de Vulnerabilidade Tenable mostrou que somente em 2020 foram encontradas 18,3 mil novas brechas que poderiam ser exploradas por atacantes.
Por causa disso, Capela defende que ainda é preciso melhorar a maturidade sobre a cultura cibernética. Aliada à LGPD e novas entidades de proteção de dados, o país poderá garantir uma maior salvaguarda para as informações dos brasileiros, segundo ele.
Desafios da ANPD para 2022
O TecMundo também questionou a ANPD sobre qual o balanço da entidade sobre o trabalho de proteção de dados até aqui. A nota da autoridade defende que os dirigentes acreditam que 2021 foi “positivo”. A justificativa é que em pouco mais de 1 ano, a ANPD já realizou 15 Circuitos Deliberativos, publicou 17 Portarias, celebrou 4 Acordos de Cooperação Técnica, publicou 6 materiais educativos entre Guias, Cartilhas, Fascículos e Artigos (junto com parceiros) e mais.
Sobre as dificuldades de fiscalização e proteção dos dados pessoais em 2022, a agência diz que “encara como oportunidades”. Apesar disso, a organização deixa claro que pode sofrer com as demandas porque a infraestrutura e o número de funcionários não é o ideal.
Parte da diretoria da ANPD durante reunião
“Nosso maior desafio será a melhoria da estrutura organizacional, por meio da alteração da natureza jurídica em entidade da administração pública federal indireta, submetida a regime autárquico especial, na busca de maior autonomia e confiança da sociedade e de organizações internacionais, e o incremento do nosso quantitativo de pessoal, pois atualmente contamos com pouco mais de 60 servidores, além de uma infraestrutura física e operacional adequada para acomodá-los”.
Por último, a ANPD pontua que será desafiada ano após ano a zelar pela proteção dos dados particulares dos brasileiros, já que cada vez mais a sociedade “está conectada e os recursos digitais e tecnológicos se desenvolvem”.
