ANPD ainda trabalha em regulamentação e cálculo para definir penas

As sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD) entram em vigor neste domingo (1º), mas na prática não haverá a aplicação de multas para empresas que não se adequaram à nova norma. Isso ocorre porque a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela fiscalização e punição de eventuais incidentes, ainda depende de regulamentação e dosimetria (cálculo para definir a pena).

 

“A própria lei prevê que haverá um regulamento próprio para definir esses pontos. Estamos ouvindo empresas e todos os envolvidos para essa definição e só após isso sairá o regulamento”, diz Waldemar Gonçalves Ortunho Junior, diretor-presidente da ANPD.

De acordo com a LGPD, a multa pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, até a interrupção da atividade corporativa.

 

O adiamento da cobrança das multas dará um fôlego para muitas empresas. Pesquisa realizada pela Fundação Dom Cabral mostra que 60% das empresas ainda ignoram o alto impacto oua alta probabilidade de ocorrência de um incidente de segurança relacionado ao risco cibernético e vazamento de dados.

 

Danilo Doneda, advogado e professor no Instituto de Direito Público (IDP), alerta que, apesar de formalmente não haver mudança significativa com a entrada em vigor das sanções, o impacto com problemas de dados não é só a multa. Ele destaca que parceiros comerciais estão cada vez mais atentos a essa questão, o que pode reduzir potencial de penetração em algumas camadas de mercado.

 

Uma das exigências da LGPD é que as empresas, independentemente do porte, tenham um profissional encarregado pela proteção dos dados pessoais, o chamado DPO, na sigla em inglês. Esse colaborador será o canal de comunicação entre a empresa, os titulares dos dados e a ANPD. A exigência desse profissional para firmas menores tem sido motivo de polêmica. O principal ponto é elas não teriam capacidade financeira para arcar com o custo desse colaborador.

 

“A tendência é que não seja obrigatório esse profissional para as pequenas e médias empresas, mas elas devem ter os cuidados com os dados assim como as demais”, explica o diretor-presidente da ANPD. De acordo com Ortunho Junior, as novas regras para as pequenas empresas deve sair até meados de agosto.

 

O estudo da Fundação Dom Cabral revela que 66% das companhias já nomearam esse profissional, sendo que deste total, apenas 14% são exclusivos para a função. A maior parte, 52%, acumula o exercício com outras funções, tais como CCO (diretor de Comunicação), CIO (responsável pela tecnologia da informação) ou jurídico.

 

A advogada Rogéria Leoni Cruz, diretora jurídica do Hospital Albert Einstein, foi a escolhida para exercer a função de DPO na organização. “Apesar de não haver mais a necessidade de ser um profissional jurídico, o meu tempo de casa – 21 anos – e conhecimento da organização contribuem para exercer a função, porque sei exatamente por onde entram os dados e por onde eles trafegam, o que é difícil fazer só com mapeamento”, diz.

 

Desde que a LGPD entrou em vigor em setembro, o hospital criou a função e começou a preparar os profissionais para atender às exigências da lei. “A área médica já tem essa característica de confidencialidade e proteção de dados”, afirma a executiva, que comenta que treinamentos estão sendo realizados constantemente para conscientizar os profissionais sobre o tema.

 

Identificar de onde saiu o vazamento de dados nem sempre é tarefa fácil. Rogéria cita o caso de um paciente que foi tomar um café na lanchonete, acabou tirando a pulseira de identificação e deixou na bandeja. Dias depois, percebeu que seus dados pessoais tinham sido vazados. “Felizmente, a esposa lembrou que tinham deixado a pulseirinha na bandeja e acabamos percebendo que as informações foram coletadas dali”, diz.

Recentemente, diversas empresas e órgãos públicos tiveram seus sistemas invadidos e dados pessoais de milhões de brasileiros – como CPF, endereço, número do PIS/Pasep, telefone entre outros – eram comercializados na deep web. Ortunho Junior afirma que a ANPD acionou os órgãos de investigação, como a Polícia Federal, e aguarda o fim das investigações.

 

“Vazamento de dados pode ocorrer mesmo com empresa em conformidade e com elevado nível de segurança de dados”, diz Henrique Fabretti, gestor da área de proteção de dados e DPO do escritório Opice Blum, Bruno e Vainzof.

 

Fabretti explica que ainda não existe parâmetro quantitativo para definir a penalidade em caso de vazamento de dados. “Se a organização aplica política de boa prática de governança, prontamente faz a recuperação daquele problema. Além do tamanho do dano, reincidência e condições econômicas são aspectos que serão levados em consideração para definir a penalidade.”

 

A advogada Nathalia Scalco, do escritório Andrade Maia, alerta que empresas poderão ser penalizadas caso descumpram as obrigações estabelecidas pela lei e, especialmente, se em decorrência disso, causarem algum dano aos titulares dos dados . “Eventuais medidas aplicadas pelas empresas, como programa de proteção de dados e mecanismos de segurança, poderão ser utilizadas, em caso de violação, para atenuar ou reduzir eventual penalidade a ser impost ser imposta”, afirma.

 

Daniel Cavalcante, do escritório Covac Sociedade de Advogados, destaca que, em caso de violação da LGPD, a pessoa que for afetada poder fazer uma denúncia diretamente à ANPD.

 

Por Gilmara Santos — São Paulo

Valor Econômico 

 

10 ago

Compartilhar