Gestores precisam se atentar para as exigências da ANPD

Advogado analisa que sanções aplicadas pela Autoridade Nacional de Proteção de Dados proporcionam importantes aprendizados

continuar lendo

Por Rafael Möller

Fonte: Artigo publicado no caderno de contabilidade do Jornal do Comércio, em 18/09/24.

Responsável por orientar, regulamentar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) já aplicou 18 sanções, em oito processos sancionadores diferentes, a empresas públicas e privadas até o momento. De advertências a multas, as decisões seguem o princípio instrutivo da legislação e auxiliam as empresas a compreender importantes lições para evitar penalidades e aprimorar seus processos internos. 

“As sanções aplicadas pela ANPD revelam a empresários e gestores aprendizados de grande relevância sobre a conformidade do tratamento de dados pessoais das suas empresas com a LGPD, e destacam a necessidade de investimentos em segurança da informação e novas tecnologias, o aprimoramento de processos e a capacitação constante dos colaboradores”, analisa Rafael Möller, que atua com o atendimento à LGPD na Carpena Advogados. 

Ele reforça que, a partir das sanções aplicadas, a adoção de ações preventivas que impliquem em boas práticas pelas empresas se torna fundamental. “É obrigação do agente de tratamento incorporar todas as medidas possíveis e esforços necessários para identificar quais pessoas foram afetadas e realizar uma comunicação individual”, explica. 

Além das definições sobre as sanções administrativas, outro item concluído pela ANPD e que traz a necessidade de atenção por parte das instituições é o Regulamento de Comunicação de Incidente de Segurança. O documento apresenta as medidas a serem tomadas em caso de vazamentos e inclui a obrigatoriedade de comunicação à ANPD e aos titulares dos dados expostos, ampla divulgação nos canais oficiais da organização e informações que devem estar contidas no relato do incidente. 

JC Contabilidade – Desde 2018, a LGPD tem passaPara executivo do Escritório Carpena Advogados, treinamento de funcionários é ponto a ser observado para evitar sanções ça da ANPD apresenta a obrigação de uma comunicação, por parte dos agentes de tratamento, em caso de vazamento de dados. Como ela deve ser realizada? do por diferentes processos regulatórios, criando dispositivos de instrução sobre diversos temas relacionados ao tratamento de dados por parte de pessoas, empresas e instituições brasileiras. Como isso se relaciona com o compliance dentro das organizações e o que deve ser observado por elas?

Rafael Möller – A LGPD se refere a uma adequação de conformidade de diferentes agentes, como empresas, instituições e órgãos, e visa garantir que as operações envolvendo dados pessoais sigam as normas legais. Nesse sentido, acredito que o principal pilar a ser observado é o consentimento dos titulares dos dados e a transparência sobre como eles vão ser utilizados. É importante também o monitoramento dessas informações e eventuais auditorias para criação de mecanismos que assegurem a proteção dessas informações e consigam identificar e corrigir eventuais falhas. Um compliance consonante com a LGPD é fundamental para a saúde financeira das empresas, porque ajuda a evitar multas que, para algumas empresas, podem ter um valor bastante significativo.

Contab – Com o início das sanções aplicadas pela ANPD, qual o principal aspecto que as empresas e organizações devem estar atentas para evitar medidas administrativas impostas na LGPD? Möller – Como a LGPD é uma lei nova para empresas, nós ainda estamos aprendendo como ela vai ser aplicada. É necessário que haja um trabalho preventivo e contínuo, porque frequentemente sai uma nova determinação ou sanção, e isso faz com que as empresas precisem readequar os procedimentos de proteção de dados utilizados. Para isso, acredito que o treinamento interno dos funcionários é o principal ponto a ser observado para evitar eventuais sanções, principalmente as mais pesadas. Isso porque, de acordo com a LGPD, se a empresa está realizando a capacitação dos funcionários e colaboradores, o entendimento é de que, em um eventual caso de vazamento, demonstra que a empresa buscou e está tentando prevenir, até porque, mesmo utilizando mecanismos de prevenção, eles não garantem que a entidade não está sujeita a ter dados vazados.

Contab – E em casos nos quais, mesmo realizando os procedimentos de segurança, acontecer um vazamento, qual é a resolução? Möller – Ter dados vazados não necessariamente significa que houve uma violação LGPD propriamente, porque existem casos que não podem ser evitados, ainda que o agente de tratamento, que é o nome dado a empresa responsável por esses dados, estiver realizando os procedimentos adequados, treinando os funcionários e realizando as comunicações de segurança quando necessário. 

Contab – O Regulamento de Incidente de Segurança da ANPD apresenta a obrigação de uma comunicação, por parte dos agentes de tratamento, em caso de vazamento de dados. Como ela deve ser realizada? Möller – Quando há algum incidente de segurança, além de comunicar a própria ANPD, é preciso que haja uma comunicação pública. Por exemplo, se houver um vazamento de dados envolvendo pessoas X e Y, essa comunicação não pode ser exclusiva para um ou outro. Para garantir que essa informações chegue aos envolvidos, a empresa precisa comunicar também no seu site ou redes sociais oficiais, ou seja, os canais que a organização utiliza para se comunicar com o seu público. Uma das sanções impostas pela ANPD, que foi contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (Iamspe), foi justamente pela ausência dessa comunicação. As instituições precisam dar notoriedade sobre o suposto vazamento de dados, porque as pessoas precisam ter ciência de que suas informações foram expostas.

Contab – A publicização nos canais oficiais das instituições pode implicar em um grave dano para a reputação, sobretudo para empresas menores. Como elas podem se preparar para evitar esse tipo de sanção? Möller – A questão da reputação é muito importante para as empresas, principalmente as privadas, mas não somente a elas. Uma das sanções aplicadas foi ao Instituto Nacional do Seguro Social (INSS), por não comunicar a ocorrência do incidente de segurança aos titulares dos dados pessoais. Então, a ANPD redigiu o texto a ser publicado no site deles e era um comunicado que tem uma redação imposta e, para uma empresa que dependa dessa reputação para o faturamento, pode manchar a imagem que foi construída por anos. Nesse sentido, se a empresa não comunicar, ela f ica a mercê da ANPD e esse erro pode ser fatal para organizações menores.

Contab – Entre as instituições que sofreram, há uma predominância de organizações públicas em relação às privadas. O que podemos interpretar dessa disparidade? Möller – Isso é um ponto bem interessante. Dos seis processos sancionadores aplicados pela ANPD até agosto deste ano, cinco deles foram aplicados ao poder público em decorrência de violações da LGPD. Ao meu ver, isso demonstra que a iniciativa privada buscou estar em conformidade com os procedimentos de proteção de dados mais cedo do que no caso das instituições públicas, por uma falta de percepção da lei. Todas as sanções demonstram que o poder público não tentou se adequar.

 

 

Fonte da imagem: https://noticias.portaldaindustria.com.br/noticias/politica-industrial/tudo-o-que-voce-precisa-saber-sobre-a-lei-de-protecao-de-dados/