Investir para economizar: um olhar prático sobre Segurança da Informação e Proteção de Dados

Não é preciso muita reflexão para se imaginar que o mercado aguardava ansioso a aplicação das multas pela ANPD para melhor compreender como a Autoridade vai, na prática, avaliar e mensurar as sanções.
A visão da advogada Renata Idie, do escritório Daniel Advogados, sobre proteção de dados

*Por Renata Yumi Idie – As perspectivas da economia mundial para o ano de 2023 são, no mínimo, desafiadoras. Em janeiro deste ano, o Banco Mundial apresentou relatório indicando que espera um crescimento global do PIB de apenas 1,7%, apontando ainda para o risco de recessão no caso de qualquer novo acontecimento adverso, como, por exemplo, o aumento das tensões geopolíticas, inflação mais alta do que os níveis esperados, ou ressurgimento da pandemia de Covid-19.

Além deste cenário, por si só, demandar um grande esforço na priorização de aporte de recursos diante de um orçamento enxuto, as organizações se depararam com mais um fator a ser ponderado nesta equação: a possibilidade concreta de serem sancionadas pela Autoridade Nacional de Proteção de Dados (ANPD), diante da publicação do “Regulamento de Dosimetria e Aplicação de Sanções Administrativas”.

Não que as questões relacionadas à proteção de dados pessoais já não estivessem no radar das empresas até mesmo antes da vigência da LGPD, mas a publicação do Regulamento – que estabelece os parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como a metodologia e as fórmulas para o cálculo da multa simples – naturalmente conferiu um pouco mais de peso ao tema.

Embora não seja a única penalidade prevista na LGPD e nem tampouco a mais grave, a sanção de multa simples é a que mais chamou atenção do mercado. Talvez pelo fato de possuir uma aplicação mais ampla (art. 10 da Resolução CD/ANPD nº4/23) ou por refletir de maneira mais palpável parte dos prejuízos financeiros no caso de violação aos direitos dos titulares de dados pessoais.

Não é preciso muita reflexão para se imaginar que o mercado aguardava ansioso a aplicação das multas pela ANPD para melhor compreender como a Autoridade vai, na prática, avaliar e mensurar as sanções.

Pois bem, aproximadamente 4 meses depois da divulgação da lista dos processos administrativos sancionatórios instaurados pela Coordenação Geral de Fiscalização, foi publicada no DOU a primeira decisão da ANPD que, em resumo, aplicou as seguintes sanções: (i) advertência, sem imposição de medidas corretivas, por violação ao artigo 41 da LGPD, ante o não fornecimento de informações sobre o encarregado; (ii) multa simples de R$7.200,00, por violação ao art. 7º da LGPD, por não ter sido identificada base legal para o tratamento de dados – a empresa ofertava lista de contatos para fins de disparo de mensagens; e (iii) multa simples de R$7.200,00, em razão do não atendimento à solicitações da ANPD durante o procedimento preliminar (violação ao art. 5º da Resolução CD/ANPD nº. 1).

Um dos pontos mais levantados nas análises preliminares feitas sobre a decisão foi o valor da multa simples, tido como baixo. Contudo, importante aqui frisar que o agente de tratamento sancionado é uma microempresa, ou seja, possui parâmetros menores de faturamento – elemento que influência diretamente na base de cálculo dos valores – de modo que a análise isolada do valor da multa aplicada não serve como parâmetro para prever eventuais prejuízos econômicos que os agentes podem sofrer diante de uma sanção da Autoridade.

Se analisarmos com a devida cautela, verificamos que a decisão, na realidade, demonstra postura rígida da Autoridade que, diante do não fornecimento dos registros de faturamento da empresa, utilizou como base de cálculo o valor máximo de faturamento que a empresa pode ter para que possa ser considerada uma microempresa – previsto na Lei Complementar nº 123/2006 – e não aplicou os benefícios do tratamento diferenciado previsto pela Resolução CD/ANPD n.º2 para os agentes de pequeno porte.

Além disso, a decisão levanta mais um alerta, os limites de valores previstos na LGPD (2% de faturamento ou 50 milhões), aplica-se por infração. Ou seja, é possível que as multas totais aplicadas ao agente de tratamento em um único procedimento sancionatório sejam bem maiores do que os limites a depender da quantidade de infrações verificadas. Embora pareça ser um raciocínio simples, não é incomum nos depararmos com comentários no sentido de que os limites de valores previstos pela LGPD seriam muito baixos se comparados com os lucros obtidos pelas grandes empresas.

É necessário ainda colocar na balança os prejuízos indiretos gerados por uma decisão sancionatória, que torna pública a ocorrência de violação às disposições da LGPD.

Em uma simples busca da Internet constata-se que os consumidores estão cada vez mais preocupados com os seus dados pessoais, sendo fácil se deparar com reclamações que mencionam e questionam a proteção dos seus dados pessoais pelas empresas. A própria ANPD divulgou em recente comunicado à imprensa (13/07) que, desde Jan/21 recebeu mais de dois mil requerimentos para averiguação de supostas infrações à LGPD.

O potencial de dano financeiro, portanto, é bem maior do que aparenta ser em uma análise superficial, reforçando a importância do investimento para garantir a proteção e tutela aos dados pessoais, que deve também ser feita de maneira contínua, especialmente diante do grande número de incidentes de segurança.

Basta analisar a lista de processos administrativos sancionadores, para se constatar que, dos 8 processos, 6 estão relacionados a incidentes de segurança da informação envolvendo dados pessoais. A ANPD inclusive divulgou que já foi informada sobre 544 incidentes de segurança. Este contexto ressalta a importância do investimento nas áreas de Segurança da Informação e Proteção de Dados Pessoais, seja para minimizar os riscos de sofrer um incidente ou para mitigar os prejuízos financeiros decorrentes de sanções administrativas.

Válido neste ponto relembrar que a Resolução CD/ANPD nº4 prevê atenuantes que devem ser aplicadas no cálculo da sanção de multa simples quando: (i) o agente de tratamento demonstrar implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares; e (ii) nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados. Nestes casos, é possível a aplicação de atenuante de até 20% em cada oportunidade.

Assim, o próprio Regulamento demonstra que a Autoridade, no momento de avaliar os casos e de mensurar o valor da sanção, deverá considerar as condutas do agente de tratamento, de modo que, possuir mecanismos e procedimentos internos capazes de possibilitar a rápida contenção e resposta diante de um incidente de segurança, é de extrema valia para as empresas. Ponto este que é reforçado por recente pesquisa da IBM (Relatório de custo da violação de dados de 2022), a qual indica que empresas que possuem um plano de resposta a incidentes estruturado e que realizam testes regularmente tem uma redução de US$ 2,66 milhões de custo médio no caso de violação de dados.

Desta forma, mesmo diante de um cenário ainda incerto, é possível afirmar que, especialmente diante de tempos econômicos difíceis, as áreas de Segurança da Informação e Privacidade e Proteção de Dados merecem uma especial atenção no orçamento pois, como acima demonstrado, a Autoridade está ativa e atuando rigidamente. Além disso, ter um plano de resposta a incidentes de segurança e uma equipe devidamente instruída para lidar com a situação pode diminuir, e muito, o valor dos prejuízos das organizações.

*Por Renata Yumi Idie, Sócia da Daniel Advogados 

Avatar photo

Colaborador

Artigos: 331