De acordo com os números colhidos pelo Relatório de Monitoramento da Autoridade Nacional de Proteção de Dados (ANPD), o setor público está entre os três que mais sofreram denúncias e petições de titulares em 2022, fazendo dessas organizações os maiores alvos de processos da ANPD. O relatório apontou 60% das ações de fiscalização instauradas no último ano mirando departamentos do governo.
Arthur Sabbat, Diretor do Conselho da ANPD, apontou que as empresas financeiras e plataformas digitais também foram bastante visadas por denúncias e processos, mas em uma porcentagem bem menor (13% em ambos os casos), em comparação ao setor público. Segundo ele, esses números são explicados especialmente por problemas nas ações de gerenciamento de dados e no relacionamento com o titular das informações.
“Esses foram os alvos das maiores denúncias porque todos eles gerenciam uma quantidade enorme de informações, aumentando o potencial de risco em vazamentos. No caso do setor público, ainda é possível acrescentar uma excessiva coleta de conteúdo sem a explicação adequada ao titular, além da falta de indicação de um encarregado de proteção de dados”, explicou Sabbat, durante coletiva de imprensa no evento UserConference Brasil, organizado pela ManageEngine.
Em relação à 2023, a ANPD já contabiliza 13 processos instaurados, com 8 deles já assumindo o caráter sancionador, uma vez que as tratativas de negociação com as partes investigadas não tiveram resultados. A Autoridade ainda possui outras 326 ações sancionatórias em análise pelo corpo diretivo.
“A maioria desses incidentes notificados envolvem ransomware, explorações de vulnerabilidades em controles de acesso, uso de senhas fracas e padronizadas, além de firewalls mal programados. Essas causas demonstram como muitas empresas no país, grandes ou pequenas, ainda lidam com infraestruturas fracas de Segurança, aumentando a frequência dos incidentes”, alerta Sabbat.
Apesar da alta taxa de denúncias e processos, a área de governo também está entre as que mais comunicaram incidentes de Segurança com vazamentos, especialmente devido a relações de compliance público. Nesse sentido, o diretor da ANPD aconselha as companhias a informar a Autoridade sobre qualquer vazamento detectado, enquanto não se estabelecem os parâmetros definitivos sobre incidentes passíveis de reporte.
“Na LGPD, devem ser informados os incidentes que envolverem potencial risco de dano relevante ao titular, e um dos objetivos prioritários da ANPD é definir detalhadamente o significado desse termo, considerando alguns parâmetros. Serão conceitos de volume de dados e titulares afetados, considerando quem são esses titulares e a sensibilidade das informações”, explicou Sabbat.
Na visão dos executivos da ManageEngine, o cenário de proteção de dados no Brasil tem crescido bastante, graças à atuação de órgãos legisladores como a ANPD e o GSI. Devido a isso, companhias começaram a entender mais as necessidades desse tema, especialmente após saírem as primeiras sanções publicadas, levando-as a reduzir esse tipo de risco de punição.
“Para nós, tem sido muito importante ver diversos países em que atuamos avançar em legislações de perda de dados”, afirmou Rajesh Ganesan, Presidente da ManageEngine. “Ataques à privacidade, especialmente em organizações de tecnologia, miram justamente no dado sensível usado para criar ambientes de consumo personalizados aos usuários. Isso tende a gerar danos graves à marca”.
Próximos passos
A definição de potencial risco relevante é uma entre diversas outras prioridades da Autoridade no próximo semestre de 2023. O diretor lembra que a LGPD deixou cerca de 60 temas de proteção para serem regulados pela ANPD. Portanto, todas essas demandas estão sendo seguidas ao mesmo tempo.
Entre os próximos temas a serem analisados pela ANPD também estão estudos de direitos dos titulares, deveres exigidos aos Data Protection Officers (DPOs), processo e tempo de comunicação de incidentes, e guia de gestão de dados de crianças e adolescentes. “Estamos com um processo de regulamentação dessas dezenas de pontos da LGPD, voltados para orientar cada vez mais titulares e agentes a conhecerem as melhores práticas de gestão de informações”, completa.
