Órgãos públicos são investigados pela ANPD

Compartilhar:

Processos administrativos instaurados pela Coordenação-Geral de Fiscalização seguem com investigação em curso. De acordo com especialista ouvido pela Security Report, implementar os controles de segurança necessários para mitigar os riscos e, principalmente, internalizar a cultura de SI é um dos principais desafios entre os servidores

Após consolidar entendimento, a Autoridade Nacional de Proteção de Dados tornou pública a relação atualizada dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização (CGF). As informações sobre quais sanções serão aplicadas para cada caso somente se tornarão públicas após a conclusão da investigação, confirmando que a conduta do agente resultará ou não em uma infração de fato, respeitados os direitos de ampla defesa e do contraditório. A mesma lógica vale para o acesso aos documentos dos processos sancionadores pendentes de decisão.

O Ministério da Saúde está entre os órgãos que respondem por esses processos por descumprimento à LGPD, no qual a Autoridade está investigando condutas como ausência de comunicação a titulares sobre incidente de Segurança, não atendimento à requisição da ANPD, ausência de encarregado de dados pessoais e de medidas de SI. Além do DATASUS, outros órgãos do setor de Saúde estão sob mira da ANPD, como é o caso da Secretaria de Estado da Saúde de Santa Catarina, que está sendo investigada sobre ausência de comunicação a titulares de incidente cibernético e não atendimento a determinações da ANPD.

Instituto de Pesquisas Jardim Botânico do Rio de Janeiro; Secretaria de Educação do Distrito Federal; Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE; e Secretaria de Desenvolvimento Social, Criança e Juventude-PE são os demais órgãos públicos em processos de investigação de condutas. Além da empresa Telekall, que não comprovou hipótese legal e está sendo investigada por ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; e não atendimento à requisição da ANPD.

Em entrevista à Security Report, Guilherme Guimarães, Advogado e Sócio fundador do Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial, explica que somente o disposto nos incisos I, IV, V, VI, X, XI e XII do art. 52 poderá ser aplicado às entidades e aos órgãos públicos. Ou seja, a multa simples ou diária não são aplicáveis às instituições do setor público.

Na relação divulgada pela ANPD, chama atenção a quantidade de órgão públicos, para ele, essas entidades detém um grande volume de dados pessoais e de extrema variedade. “Por conta do tamanho do Estado, será um desafio implementar os controles de segurança necessários para mitigar os riscos e, principalmente, internalizar a cultura de Segurança da Informação entre os servidores”, pontua o advogado.

Guimarães ressalta que as sanções devem possuir caráter punitivo e educativo e avalia ainda as penalidades como um meio dos órgãos públicos cumprirem com as diretrizes previstas na LGPD, uma vez que a ANPD poderá exigir que os dados pessoais referente a infração sejam eliminados pelo órgão público. “Bem como a suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento de dados pelo período máximo de 6 meses ou proibir, parcial ou totalmente, o exercício de atividades relacionadas a tratamento de dados. A aplicação dessas penalidades poderia ser até pior do que uma multa pecuniária”, completa.

Apesar do avanço, após alguns adiamentos e mudanças, muito por conta da pandemia da COVID-19, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) avançou e a chamada “norma de dosimetria” foi bastante esperada pela sociedade, por tratar da atuação sancionadora da ANPD, proporcionando, assim, o devido reforço à atuação fiscalizatória da Autoridade.

Na visão de Guimarães, apesar disso, uma grande parcela das empresas ainda acha que a lei não “pegou”, o que torna o cenário preocupante. “Não se trata apenas de cumprir uma legislação, mas, também, de manter as relações comerciais com seus pares que deixarão de comercializar ou contratar aquele que não atender a LGPD. Além disso, essas empresas que não se adequarem serão deixadas de lado pelos seus clientes e terão sua imagem prejudicada pelo fato de não protegerem os dados pessoais de seu público”, finaliza.

Assunto abordado em Brasília

Durante a edição regional do Security Leaders em Brasília, o diretor da ANPD, Arthur Sabbat, comentou a relação dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização. Segundo Sabbat, durante os processos, o controlador pode provar à ANPD que adotou todas as medidas necessárias para mitigação de um incidente com violação de dados dos titulares. “Logo, esses processos são encerrados e outros abertos. Por isso, o maior número de colaboradores da ANPD está atuando exatamente na fiscalização desses processos”, comentou o Diretor.

Além disso, Sabbat também afirmou a importância assumida pela LGPD depois da publicação das dosimetrias. Entretanto, as exceções atenuantes da lei mostram que a função da ANPD não será inviabilizar empresas ou o mercado em caso de pagamento de multas por descumprimento da LGPD, mas demonstrar a necessidade das medidas de Cibersegurança, dado o cenário crítico da proteção de dados e alta nos ataques cibernéticos.

“Nosso trabalho será avaliar a situação comunicada e abrir um processo administrativo que pode resultar na confirmação das boas práticas da empresa, ou na eventual sanção dosada, se a omissão for provada. Por isso, sempre digo ser impossível fazer proteção de dados pessoais sem seguir as regras básicas de Segurança da Informação, pois, somada à privacidade, esses aspectos formam um tripé de conformidade, do qual não dá para escapar”, encerrou o Diretor.

Conteúdos Relacionados

Security Report | Destaques

Incidente cibernético gera instabilidade na cobrança do Bilhete Único

Ocorrência teria atingido uma das concessionárias da rede municipal de transportes, impactando na validação do Bilhete Único na zona Sul...
Security Report | Destaques

Cosan ganha visibilidade de segurança em nuvem com IA

Ferramenta de Inteligência Artificial AI Cloud Security trouxe novas configurações de Segurança para o projeto de nuvem em expansão da...
Security Report | Destaques

Ataque de ransomware trouxe nova realidade de acessos gerenciados ao STJ

Uma das instâncias mais altas do Judiciário brasileiro sofreu um grave incidente cibernético há quatro anos, levando a instituição a...
Security Report | Destaques

“Apenas o cargo não faz um C-Level”, afirma Leonardo Muroya

Em entrevista à Security Report, um dos CISOs mais influentes do mercado de SI e, agora, CEO da Vultus Cybersecurity,...