Como a ANPD está tratando os últimos casos relevantes de vazamento de dados em relação à LGPD

A privacidade é um direito pessoal e fundamental para qualquer indivíduo, garantida por lei no Brasil desde 1890. Quando falamos da privacidade no âmbito digital, falamos do direito que abrange a proteção e autonomia sobre sobre as informações pessoais. Para garantir tal direito, existem as leis de proteção de dados, um tema que começou a ser debatido no Brasil no ano de 2010, resultando em legislações como a Lei Carolina Dieckmann (2012), desenvolvida para criminalizar a invasão de aparelhos eletrônicos com a intenção de obtenção de dados pessoais e o Marco Civil da Internet (2014), reforçando o direito à privacidade.

Por fim, no cenário atual temos a LGPD, a Lei Geral de Proteção de Dados, criada em 14 de agosto de 2018, regulamentando o tratamento de dados por parte das empresas, garantindo direitos mais detalhados aos titulares das informações. Para gerir e aplicar as regras da legislação foi criada no dia 8 de julho de 2019 a ANPD – Autoridade Nacional de Proteção de Dados.

O órgão começou suas ações e regulamentações em 2021. Neste cenário, onde a lei e as multas já estão sendo aplicadas, surge o questionamento: como os casos de violações de dados estão sendo tratados?

Separamos os mais recentes incidentes de vazamentos de dados no Brasil e mostraremos ao longo desse artigo a urgência da privacidade e da segurança em cenário empresarial.

3 episódios de violações da privacidade de dados nacionais recentes

O Brasil é um alvo constante dos ataques cibernéticos, com uma alarmante insegurança para a privacidade de dados. Em 2021, o nosso país ocupou a quinta colocação no ranking global de vazamentos de dados, de acordo com o levantamento realizado pela SurfShark. Diante desses dados preocupantes podemos conhecer três episódios recentes envolvendo infrações contra a privacidade de dados e como a ANPD está procedendo.

1. Netshoes – Incidente de segurança que gerou o comprometimento de dados pessoais de clientes – 2019

O Marco Civil da Internet estabelece (Art.7,I,VII) a inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação e o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.

Em 2017, houve um grande vazamento de registros de clientes da Netshoes, contendo dados de cadastro, dados pessoais e de identificação, além de informações sobre compras em sua plataforma de comércio eletrônico.

Em janeiro de 2019, o MPDFT – Ministério Público do Distrito Federal e Territórios deferiu um Termo de Ajustamento de Conduta, onde a Netshoes ficou responsável pelo pagamento de uma indenização de R$500.000,00, com a finalidade de Indenização por Danos Morais Coletivo. Na sentença, a LGPD, que já estava promulgada, mas ainda em fase de implantação, foi citada diversas vezes.

2. Seguradora AIG – Desvio de Finalidade: Compartilhamento indevido de dados pessoais a terceiro

Esta ação civil pública, julgada em 2020, foi solicitada por um Sindicato de Trabalhadores do Transporte Rodoviário de Cargas, onde ficou confirmado que houve a criação e manutenção de um banco de dados pelas Empresas de Gerenciamento de Risco com atuação no transporte rodoviário de cargas, em atenção às exigências das empresas seguradoras, o que foi considerado atitude discriminatória na seleção e manutenção no trabalho de motoristas para atuar no transporte da carga, pela existência de resultados positivos quanto à restrição creditícia ou dívidas, antecedentes criminais e processos judiciais não transitados em julgado.

O acordo desta ação civil definiu uma indenização por dano moral coletivo, no valor de R$ 1.000.000,00.

3. Vazamentos do PIX – Na mira do ANPD

No dia 3 de fevereiro de 2022, o Banco Central informou que 2.112 clientes da Logbank Soluções em Pagamentos tiveram dados das chaves Pix vazadas. Esse foi um dos três incidentes de vazamentos de dados envolvendo o sistema de pagamentos, em período de seis meses. O próprio Banco Central afirmou que os vazamentos ocorreram devido a falhas pontuais nos sistemas das instituições financeiras.

Infelizmente, no pronunciamento do BC sobre os vazamentos apresenta uma minimização do ocorrido, afirmando que os incidentes têm baixo impacto por envolver apenas dados cadastrais. Entretanto, a ANPD está de olho nesses episódios e eles podem gerar consequências para a empresa.

Como pontuou Nairane Rabelo Leitão, diretora da ANPD: “A ANPD foi comunicada oficialmente. Existem processos abertos para tratar desses casos e podem levar a sanções, para o Banco Central ou às instituições financeiras envolvidas.” Além disso, Nairane também reforçou que a sanção pode ser elencada no artigo 52 da LGPD (a Lei Geral de Proteção de Dados Pessoais prevê punições que vão de advertência a multa de R$ 50 milhões por infração).

Mas, quais são os impactos gerados pelas violações e vazamentos de dados em uma empresa?

Impactos de uma violação de dados para uma empresa

Quando falamos de privacidade e violações de dados, existem diversos impactos gerados, a saber:

• Desgaste da imagem e da relação entre clientes e a empresa envolvida – o estudo sobre privacidade e informações online, realizada pela Kaspersky entre outubro e novembro de 2021, na América Latina, apontou que a maioria dos latino-americanos não compartilharia mais suas informações com empresas que tiveram dados vazados.

• Multas e prejuízos na receita da organização – Estudos apontam que 29% das empresas que enfrentam uma violação de dados acabam perdendo receita.

• Perdas e danos à propriedade intelectual – além dos impactos na receita e na reputação, os danos também podem afetar a propriedade intelectual da empresa: designs, estratégias e projetos podem entrar na mira dos cibercriminosos.

Esses impactos sinalizam a uma verdade: a proteção de dados não é apenas um processo de conformidade com a Lei Geral de Proteção de Dados, mas de uma cultura organizacional de segurança e privacidade. Sendo assim, é fundamental que gestores e tomadores de decisão no negócio enxerguem a urgência da construção dessa cultura e os caminhos primordiais para torná-la uma realidade.

E quando falamos sobre a construção de uma cultura de segurança, a capacitação é o primeiro passo.

A urgência da construção de uma cultura de cibersegurança

Analisar os episódios de vazamentos, as ações da ANPD e as diretrizes da LGPD é fundamental para compreender que a proteção da privacidade dos dados está solidificada sobre uma questão mais profunda: a cibersegurança nas empresas. Entretanto, vivemos em um país que só resolve os problemas quando eles aparecem.

Proteger dados e mitigar violações têm uma ligação imprescindível com a prevenção. A preocupação não pode ser apenas nas consequências e no tratamento de um vazamento de dados, mas nas medidas de segurança para evitar que um vazamento aconteça. É preciso construir uma muralha sólida para que uma organização esteja de fato preparada para lidar com as ameaças. Uma muralha construída com políticas, soluções, ferramentas e o mais importante: profissionais capacitados.

Conheça o Workshop C-LEVEL

É fundamental contar com ações e estratégias inteligentes, capazes de educar, conscientizar e ensinar sobre segurança, os riscos existentes no negócio e meios para prevenir as violações de dados. Afinal, a segurança cibernética também é um assunto para os gestores e tomadores de decisão no negócio.

Pensando nisso, desenvolvemos Workshop para C-Level, conteúdo exclusivo para Executivos, Líderes de Negócio, Gestores Não-Técnicos e Gestores Técnicos. Nele, apresentamos os principais conhecimentos sobre governança, segurança e risco cibernético, com uma abordagem consultiva, feita para elevar a capacitação diante dos desafios de segurança, riscos e continuidade do negócio.

Conheça mais sobre o curso, clicando aqui.

A privacidade e proteção de dados tornou-se uma demanda urgente para todas as empresas. Com as ações da ANPD e as diretrizes da LGPD, os impactos de negligenciar a segurança e a conformidade com a lei podem ser bem profundos. Mas a preocupação principal deve ser a de tornar o seu ambiente de dados mais seguro, sempre.

A hora de se preparar e fortalecer a prevenção é agora.