LGPD: o que podemos aprender com as condenações por descumprimento?
ANPD divulga a primeira condenação contra uma pessoa jurídica de direito público.
Em julho de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira penalidade contra uma empresa brasileira [1] por descumprimento da Lei Geral de Proteção de Dados (LGPD) . O fato chamou a atenção do mercado e acendeu o alerta: a fiscalização começou para valer!
E, agora em outubro, a ANPD divulgou a primeira condenação contra uma pessoa jurídica de direito público, o Instituto de Assistência ao Servidor Estadual de São Paulo (IAMSPE) [2].
O processo [3] teve início após uma denúncia feita à ANPD, delatando que os sistemas utilizados pelo IAMSPE apresentavam vulnerabilidades de segurança, o que permitia o acesso desautorizado à base de dados da instituição.
Por ser uma organização de assistência à Saúde, o Instituto trata inúmeras informações pessoais de servidores públicos e seus dependentes, fato que ensejou a instauração do procedimento pela ANPD.
Após investigação, foi constatado que, de fato, os sistemas que o IAMSPE utilizava não apresentavam medidas de segurança adequadas aos padrões da LGPD. Segundo a ANPD, “houve falha na implementação de controles para garantir a confidencialidade dos dados, de modo a assegurar que a informação fosse acessível apenas àqueles autorizados a ter acesso”, o que permitiu o alcance de terceiros às informações sob sua guarda.
Consequentemente, o IAMSPE também foi sancionado por ter deixado de comunicar os titulares acerca do incidente de segurança sofrido, no caso, o acesso indevido a informações pessoais como “nome completo, estado civil, data de nascimento, CPF, RH, endereço e telefones e também cópias de documentos tais como RG, CNH e comprovante de residência” de mais de um milhão de servidores e seus dependentes.
As duas obrigações - adotar medidas técnicas de segurança e comunicar o incidente aos titulares - que serviram de base para a sanção ajudam a reforçar o argumento de que o cumprimento da LGPD está longe de ser uma simples questão de assistir palestras ou contratar ferramentas. O trabalho de adequação é minucioso e deve ser específico para cada realidade.
Para evitar problemas com a lei, é necessário redesenhar processos, capacitar as pessoas que atuam na organização, revisar informações e sistemas, elaborar documentos adequados para prevenir responsabilidades e assegurar direitos, dentre inúmeras outras medidas de segurança e boas práticas.
Em alguns casos, isso pode exigir até mesmo a reformulação do modelo de negócio, tamanho o impacto da lei! Sim, é preciso aceitar o fato de que a LGPD tem o condão de modificar a realidade do mercado, gostemos ou não.
Alguns empresários, lamentavelmente, ainda não compreenderam isso. Parece que estão esperando a fiscalização bater na porta ou o primeiro incidente grave de segurança acontecer - mal que, infelizmente, acomete também alguns gestores públicos, pelo que vemos por aí.
Por enquanto, empresas e órgãos públicos seguem na mira da lei. Os trabalhos de fiscalização começaram agora. Condenações judiciais também estão acontecendo. E as grandes organizações estão cobrando de seus fornecedores e parceiros que estejam em conformidade com a LGPD. É preciso correr, e não há muito por onde fugir.
Por: Gabriel Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD ©
Notas:
[1] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd
[2] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-conclui-processo-sancionador-contra-orgao-publico
[3] Processo Administrativo Sancionador nº 00261.001969/2022-41
voltar