Processos administrativos instaurados pela Coordenação-Geral de Fiscalização seguem com investigação em curso. De acordo com especialista ouvido pela Security Report, implementar os controles de segurança necessários para mitigar os riscos e, principalmente, internalizar a cultura de SI é um dos principais desafios entre os servidores
Após consolidar entendimento, a Autoridade Nacional de Proteção de Dados tornou pública a relação atualizada dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização (CGF). As informações sobre quais sanções serão aplicadas para cada caso somente se tornarão públicas após a conclusão da investigação, confirmando que a conduta do agente resultará ou não em uma infração de fato, respeitados os direitos de ampla defesa e do contraditório. A mesma lógica vale para o acesso aos documentos dos processos sancionadores pendentes de decisão.
O Ministério da Saúde está entre os órgãos que respondem por esses processos por descumprimento à LGPD, no qual a Autoridade está investigando condutas como ausência de comunicação a titulares sobre incidente de Segurança, não atendimento à requisição da ANPD, ausência de encarregado de dados pessoais e de medidas de SI. Além do DATASUS, outros órgãos do setor de Saúde estão sob mira da ANPD, como é o caso da Secretaria de Estado da Saúde de Santa Catarina, que está sendo investigada sobre ausência de comunicação a titulares de incidente cibernético e não atendimento a determinações da ANPD.
Instituto de Pesquisas Jardim Botânico do Rio de Janeiro; Secretaria de Educação do Distrito Federal; Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE; e Secretaria de Desenvolvimento Social, Criança e Juventude-PE são os demais órgãos públicos em processos de investigação de condutas. Além da empresa Telekall, que não comprovou hipótese legal e está sendo investigada por ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; e não atendimento à requisição da ANPD.
Em entrevista à Security Report, Guilherme Guimarães, Advogado e Sócio fundador do Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial, explica que somente o disposto nos incisos I, IV, V, VI, X, XI e XII do art. 52 poderá ser aplicado às entidades e aos órgãos públicos. Ou seja, a multa simples ou diária não são aplicáveis às instituições do setor público.
Na relação divulgada pela ANPD, chama atenção a quantidade de órgão públicos, para ele, essas entidades detém um grande volume de dados pessoais e de extrema variedade. “Por conta do tamanho do Estado, será um desafio implementar os controles de segurança necessários para mitigar os riscos e, principalmente, internalizar a cultura de Segurança da Informação entre os servidores”, pontua o advogado.
Guimarães ressalta que as sanções devem possuir caráter punitivo e educativo e avalia ainda as penalidades como um meio dos órgãos públicos cumprirem com as diretrizes previstas na LGPD, uma vez que a ANPD poderá exigir que os dados pessoais referente a infração sejam eliminados pelo órgão público. “Bem como a suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento de dados pelo período máximo de 6 meses ou proibir, parcial ou totalmente, o exercício de atividades relacionadas a tratamento de dados. A aplicação dessas penalidades poderia ser até pior do que uma multa pecuniária”, completa.
Apesar do avanço, após alguns adiamentos e mudanças, muito por conta da pandemia da COVID-19, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) avançou e a chamada “norma de dosimetria” foi bastante esperada pela sociedade, por tratar da atuação sancionadora da ANPD, proporcionando, assim, o devido reforço à atuação fiscalizatória da Autoridade.
Na visão de Guimarães, apesar disso, uma grande parcela das empresas ainda acha que a lei não “pegou”, o que torna o cenário preocupante. “Não se trata apenas de cumprir uma legislação, mas, também, de manter as relações comerciais com seus pares que deixarão de comercializar ou contratar aquele que não atender a LGPD. Além disso, essas empresas que não se adequarem serão deixadas de lado pelos seus clientes e terão sua imagem prejudicada pelo fato de não protegerem os dados pessoais de seu público”, finaliza.
Assunto abordado em Brasília
Durante a edição regional do Security Leaders em Brasília, o diretor da ANPD, Arthur Sabbat, comentou a relação dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização. Segundo Sabbat, durante os processos, o controlador pode provar à ANPD que adotou todas as medidas necessárias para mitigação de um incidente com violação de dados dos titulares. “Logo, esses processos são encerrados e outros abertos. Por isso, o maior número de colaboradores da ANPD está atuando exatamente na fiscalização desses processos”, comentou o Diretor.
Além disso, Sabbat também afirmou a importância assumida pela LGPD depois da publicação das dosimetrias. Entretanto, as exceções atenuantes da lei mostram que a função da ANPD não será inviabilizar empresas ou o mercado em caso de pagamento de multas por descumprimento da LGPD, mas demonstrar a necessidade das medidas de Cibersegurança, dado o cenário crítico da proteção de dados e alta nos ataques cibernéticos.
“Nosso trabalho será avaliar a situação comunicada e abrir um processo administrativo que pode resultar na confirmação das boas práticas da empresa, ou na eventual sanção dosada, se a omissão for provada. Por isso, sempre digo ser impossível fazer proteção de dados pessoais sem seguir as regras básicas de Segurança da Informação, pois, somada à privacidade, esses aspectos formam um tripé de conformidade, do qual não dá para escapar”, encerrou o Diretor.