O diretor da ANPD, Arthur Sabbat, afirmou hoje (23), em apresentação de Keynote de abertura do Security Leaders Brasília, que a Autoridade Nacional de Proteção de Dados abrirá uma série de consultas públicas neste ano para iniciar o desenvolvimento de suas normas reguladoras. Entre os tópicos centrais dessas normas estão as regras de Comunicação de Incidentes Cibernéticos e dos Relatórios de Riscos Cibernéticos.
“A ANPD vai pacificar esses dois assuntos, pois a Autoridade precisa receber a comunicação do controlador dos dados eventualmente vazados, seja ele um ente público ou privado. Já no caso da segunda norma, a ideia é definir qual deve ser o formato dos Relatórios de Impacto de Proteção de Dados, que serão avaliações de risco contendo todas as informações exigidas pela Coordenação-Geral de Fiscalização, responsável pela execução das sanções”, explicou o diretor nesta manhã.
Além dessas duas, a ANPD deve desenvolver normas de orientações de tratamento de proteção de dados de Crianças e Adolescentes; coleta e divulgação de informações por órgãos de pesquisa; um guia de uso da LGPD para organizações religiosas; um estudo a respeito da anonimização e pseudo-anonimização e a regulação do papel dos DPOs dentro das empresas. Todos esses projetos contarão com consultas públicas de forma a atrair a participação da indústria e da sociedade civil.
“Essa norma sobre os encarregados de Proteção de Dados terá novas ordens em relação ao perfil do profissional e, principalmente, sobre problemas de conflitos de interesse com a alta administração. O DPO precisa ter carta branca garantida para assessorar a alta a administração sobre o cuidado das informações dos clientes e funcionários”, explicou o diretor.
Sabbat também reforçou a importância assumida pela LGPD depois da publicação das dosimetrias de sanções em fevereiro. Entretanto, as exceções atenuantes da lei mostram que a função da ANPD não será inviabilizar empresas ou o mercado em caso de pagamento de multas por descumprimento da LGPD, mas demonstrar a necessidade das medidas de Cibersegurança, dado o cenário crítico da proteção de dados e alta nos ataques cibernéticos.
“Nosso trabalho será avaliar a situação comunicada e abrir um processo administrativo que pode resultar na confirmação das boas práticas da empresa, ou na eventual sanção dosada, se a omissão for provada. Por isso, sempre digo ser impossível fazer proteção de dados pessoais sem seguir as regras básicas de Segurança da Informação, pois, somada à privacidade, esses aspectos formam um tripé de conformidade, do qual não dá para escapar” encerrou o diretor.
Setor público na mira das sanções
Ainda hoje, a Autoridade tornou pública a relação atualizada dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização. Os processos não estão concluídos, mas incluem 6 instituições do setor público e 1 empresa privada em investigações sobre o descumprimento das regras da LGPD. Além disso, a Autoridade apresentou a conduta realizada, o setor de atuação do ente, a fase em que se encontra o processo e o número da causa aberta na ANPD.
O Ministério da Saúde está entre os órgãos que respondem por esses processos, no qual a ANPD está investigando condutas como ausência de comunicação a titulares sobre incidente de Segurança, não atendimento à requisição da ANPD, ausência de encarregado de dados pessoais e de medidas de SI. Ainda neste setor, a Secretaria de Estado da Saúde de Santa Catarina está sendo investigada sobre ausência de comunicação a titulares de incidente cibernético e não atendimento a determinações da ANPD.
Instituto de Pesquisas Jardim Botânico do Rio de Janeiro; Secretaria de Educação do Distrito Federal; Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE; e Secretaria de Desenvolvimento Social, Criança e Juventude-PE são os demais órgãos públicos em processos de investigação de condutas. Além da empresa Telekall, que não comprovou hipótese legal e está sendo investigada por ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; e não atendimento à requisição da ANPD.
