LGPD: o que podemos aprender com as condenações por descumprimento?

Em julho de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira penalidade contra uma empresa brasileira por descumprimento da Lei Geral de Proteção de Dados (LGPD) . O fato chamou a atenção do mercado e acendeu o alerta: a fiscalização começou para valer!

E, agora em outubro, a ANPD divulgou a primeira condenação contra uma pessoa jurídica de direito público, o Instituto de Assistência ao Servidor Estadual de São Paulo (IAMSPE).

O processo teve início após uma denúncia feita à ANPD, delatando que os sistemas utilizados pelo IAMSPE apresentavam vulnerabilidades de segurança, o que permitia o acesso desautorizado à base de dados da instituição.

Por ser uma organização de assistência à Saúde, o Instituto trata inúmeras informações pessoais de servidores públicos e seus dependentes, fato que ensejou a instauração do procedimento pela ANPD.

Após investigação, foi constatado que, de fato, os sistemas que o IAMSPE utilizava não apresentavam medidas de segurança adequadas aos padrões da LGPD. Segundo a ANPD, “houve falha na implementação de controles para garantir a confidencialidade dos dados, de modo a assegurar que a informação fosse acessível apenas àqueles autorizados a ter acesso”, o que permitiu o alcance de terceiros às informações sob sua guarda.

Consequentemente, o IAMSPE também foi sancionado por ter deixado de comunicar os titulares acerca do incidente de segurança sofrido, no caso, o acesso indevido a informações pessoais como “nome completo, estado civil, data de nascimento, CPF, RH, endereço e telefones e também cópias de documentos tais como RG, CNH e comprovante de residência” de mais de um milhão de servidores e seus dependentes.

As duas obrigações – adotar medidas técnicas de segurança e comunicar o incidente aos titulares – que serviram de base para a sanção ajudam a reforçar o argumento de que o cumprimento da LGPD está longe de ser uma simples questão de assistir palestras ou contratar ferramentas. O trabalho de adequação é minucioso e deve ser específico para cada realidade.

Para evitar problemas com a lei, é necessário redesenhar processos, capacitar as pessoas que atuam na organização, revisar informações e sistemas, elaborar documentos adequados para prevenir responsabilidades e assegurar direitos, dentre inúmeras outras medidas de segurança e boas práticas.

Em alguns casos, isso pode exigir até mesmo a reformulação do modelo de negócio, tamanho o impacto da lei! Sim, é preciso aceitar o fato de que a LGPD tem o condão de modificar a realidade do mercado, gostemos ou não.

Alguns empresários, lamentavelmente, ainda não compreenderam isso. Parece que estão esperando a fiscalização bater na porta ou o primeiro incidente grave de segurança acontecer – mal que, infelizmente, acomete também alguns gestores públicos, pelo que vemos por aí.

Por enquanto, empresas e órgãos públicos seguem na mira da lei. Os trabalhos de fiscalização começaram agora. Condenações judiciais também estão acontecendo. E as grandes organizações estão cobrando de seus fornecedores e parceiros que estejam em conformidade com a LGPD. É preciso correr, e não há muito por onde fugir.

 

  • Fonte: Contadores.cnt.br
  • Imagem: Freepik
  • 19 de outubro de 2023