Empresas sem padrões mínimos de segurança serão o “alvo” da LGPD
As empresas que não têm um padrão mínimo de segurança para proteger seus dados pessoais contra acessos não autorizados estão “na mira” da Lei Geral de Proteção de Dados (LGPD). Mas, por que? Até o próximo ano, a Autoridade Nacional de Proteção de Dados (ANPD) vai regular a implantação de padrões técnicos mínimos de segurança, situação que pode provocar correria naquelas que não estão habituadas a investir em cibersegurança. Além da possibilidade de multa por vazamento de dados pessoais, uma invasão pode acabar com a imagem de uma corporação que não esteja em conformidade com a lei e pode ocorrer um prejuízo reputacional, pois terá o rótulo de violadora da LGPD.
O “Item-18” da Agenda Regulatória 2023/2024 da ANPD prevê que, até meados do próximo ano, ela regulamente “Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)”. A LGPD, em seu Capítulo VII, que trata sobre “Segurança e Boas Práticas”, determina no artigo 46 que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A própria lei traz a possibilidade de a ANPD dispor sobre padrões técnicos mínimos para tornar aplicável a previsão do artigo mencionado anteriormente. Diante desse quadro, que deve sofrer regulação até o próximo ano, a pergunta a ser respondida é: sua empresa está preparada para atender os requisitos mínimos de segurança? A mesma legislação prevê que essas medidas deverão ser observadas desde a fase de concepção do produto, ou do serviço, até a sua execução, ou seja, no processo completo.
Fernando Bryan Frizzarin, especialista em cibersegurança da BluePex® Cybersecurity, explica que os requisitos mínimos de segurança são, no caso de equipamentos, um firewall bem dimensionado e corretamente configurado, além da adequada segmentação da rede. “No caso de software, um antivírus com gestão centralizada que permita o monitoramento e gestão independente de ações do usuário final”, descreveu.
A ANPD divulgou recentemente seu relatório do Ciclo de Monitoramento referente a 2022. O documento tem a função de avaliar as atividades de fiscalização realizadas no ciclo anterior, incluindo os temas prioritários, apresentando indicadores e resultados relevantes. No ano passado, a ANPD recebeu 1.045 requerimentos (entre denúncias e petições de titulares) e 287 comunicações de incidentes de segurança, além de terem sido instaurados 15 processos de fiscalização e 8 processos administrativos sancionadores.
Outro dado do Ciclo de Monitoramento que deve ter atenção é referente à “Petição de Titular”, instrumento para exercício de direito pelo titular de dados em relação ao tratamento de seus dados pessoais. Nesse sentido, os cinco segmentos mais presentes nas petições foram:
1 - Plataformas digitais
2 – Financeiro
3 – Telecomunicações
4 – Varejo
5 – Serviços
Esses setores devem ser monitorados de perto pela ANPD no próximo ciclo. Se sua empresa está em algum desses segmentos, verifique se há conformidade com a LGPD.
Uma invasão pode acabar com a reputação de uma empresa?
Essa questão também é respondida no Ciclo de Monitoramento da ANPD. Conforme o relatório, entre os agentes de tratamento mais denunciados estão os órgãos públicos, sites que divulgam dados disponíveis publicamente, instituições financeiras e operadoras de telefonia.
Considerando os agentes de tratamento individualmente, o maior número de denúncias recaiu ao Conselho Regional de Engenharia e Agronomia de São Paulo (CREA/SP). Mas por que esse resultado? O órgão foi alvo de ataque cibernético que resultou na extração de dados pessoais dos profissionais registrados. Conseguiu enxergar a importância em ter um sistema de cibersegurança completo e como a ausência dele pode resultar em denúncias na ANPD?
Com essa informação em mente, e considerando que a ANPD irá regular até 2024 os padrões técnicos mínimos de segurança, vale à pena retomar à questão feita no início do texto: sua empresa está preparada?
Outro aspecto importante a ser observado é sobre as sanções aplicadas pela LGPD. Como divulgado amplamente pela mídia, no mês de julho deste ano a Coordenação-Geral de Fiscalização (CGF/ANPD) concluiu processo administrativo sancionador que resultou em aplicação de sanções de multa e de advertência por ofensas à LGPD para uma microempresa.
Mas a multa é a sanção mais rigorosa? Quem respondeu essa questão foi Miriam Wimmer, que é diretora na ANPD. No final de agosto, ela participou do V Congresso de Segurança e Defesa Cibernética da Federação das Indústrias do Estado de São Paulo (Fiesp) e citou que a aplicação de multas é somente um dos possíveis recursos para incentivar a conformidade. "As sanções vão além das multas. Há um prejuízo reputacional – a reputação de violadora da LGPD prejudica a empresa. Temos, também, a possibilidade de proibir o tratamento de dados pessoais, o que inviabiliza muitos modelos de negócio", descreveu no evento.
Frizzarin explicou que essa reputação é muito mais prejudicial à imagem como um todo, inclusive para o negócio, pois há perda de confiança dos clientes, parceiros e também com os funcionários. “Isso cria um ambiente que dificulta com que as pessoas preencham cadastros, aceitem comunicações ou serviços”, completou.
Um dos sinais de que a ANPD deve vir com mais força no próximo ano é o anúncio recente do Ministério da Justiça e Segurança Pública (MJSP), que organiza edital de um concurso público para a ANPD. O órgão afirmou que a notícia “demonstra a imprescindibilidade de pessoal frente à missão e aos crescentes desafios enfrentados pela ANPD e a necessidade de fortalecimento institucional da Autoridade”.