Em julho de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira penalidade contra uma empresa brasileira [1] por descumprimento da Lei Geral de Proteção de Dados (LGPD) . O fato chamou a atenção do mercado e acendeu o alerta: a fiscalização começou para valer!

E, agora em outubro, a ANPD divulgou a primeira condenação contra uma pessoa jurídica de direito público, o Instituto de Assistência ao Servidor Estadual de São Paulo (IAMSPE) [2].

O processo [3] teve início após uma denúncia feita à ANPD, delatando que os sistemas utilizados pelo IAMSPE apresentavam vulnerabilidades de segurança, o que permitia o acesso desautorizado à base de dados da instituição.

Por ser uma organização de assistência à Saúde, o Instituto trata inúmeras informações pessoais de servidores públicos e seus dependentes, fato que ensejou a instauração do procedimento pela ANPD.

Após investigação, foi constatado que, de fato, os sistemas que o IAMSPE utilizava não apresentavam medidas de segurança adequadas aos padrões da LGPD. Segundo a ANPD, “houve falha na implementação de controles para garantir a confidencialidade dos dados, de modo a assegurar que a informação fosse acessível apenas àqueles autorizados a ter acesso”, o que permitiu o alcance de terceiros às informações sob sua guarda.

Consequentemente, o IAMSPE também foi sancionado por ter deixado de comunicar os titulares acerca do incidente de segurança sofrido, no caso, o acesso indevido a informações pessoais como “nome completo, estado civil, data de nascimento, CPF, RH, endereço e telefones e também cópias de documentos tais como RG, CNH e comprovante de residência” de mais de um milhão de servidores e seus dependentes.

As duas obrigações - adotar medidas técnicas de segurança e comunicar o incidente aos titulares - que serviram de base para a sanção ajudam a reforçar o argumento de que o cumprimento da LGPD está longe de ser uma simples questão de assistir palestras ou contratar ferramentas. O trabalho de adequação é minucioso e deve ser específico para cada realidade.

Para evitar problemas com a lei, é necessário redesenhar processos, capacitar as pessoas que atuam na organização, revisar informações e sistemas, elaborar documentos adequados para prevenir responsabilidades e assegurar direitos, dentre inúmeras outras medidas de segurança e boas práticas.

Em alguns casos, isso pode exigir até mesmo a reformulação do modelo de negócio, tamanho o impacto da lei! Sim, é preciso aceitar o fato de que a LGPD tem o condão de modificar a realidade do mercado, gostemos ou não.

Alguns empresários, lamentavelmente, ainda não compreenderam isso. Parece que estão esperando a fiscalização bater na porta ou o primeiro incidente grave de segurança acontecer - mal que, infelizmente, acomete também alguns gestores públicos, pelo que vemos por aí.

Por enquanto, empresas e órgãos públicos seguem na mira da lei. Os trabalhos de fiscalização começaram agora. Condenações judiciais também estão acontecendo. E as grandes organizações estão cobrando de seus fornecedores e parceiros que estejam em conformidade com a LGPD. É preciso correr, e não há muito por onde fugir.

Por: Gabriel Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD ©

Notas:

[1] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd

[2] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-conclui-processo-sancionador-contra-orgao-publico

[3] Processo Administrativo Sancionador nº 00261.001969/2022-41