Espírito de cooperação e pró-atividade das empresas pode reduzir valor das multas da LGPD

“Boa fé” das empresas pode reduzir valor das multas da LGPD.  Espírito de cooperação e pró-atividade das empresas será considerada durante sanções, segundo ANPD – Autoridade Nacional de Proteção de Dados – em seminário do Ciesp e da Fiesp

A natureza das infrações, a boa fé do infratores, a condição econômica deles, a reincidência, o grau do dano ocorrido, o espírito de cooperação e a adoção de mecanismos de boas práticas, como códigos de conduta e programas de governança, são algumas das questões a serem levadas em consideração durante a aplicação de multas pelo descumprimento da LGPD (Lei Geral de Proteção de Dados). A informação foi dada pela diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer, durante o workshop “Dosimetria e Aplicação de Sanções da LGPD”, promovido pelo Ciesp (Centro das Indústrias do Estado de São Paulo) e a Fiesp (Federação das Indústrias do Estado de São Paulo) na última sexta (24).

O evento fez parte de uma série de workshops e treinamentos que serão realizados pelo CIESP/DESEG/SENAI, sobre as temáticas LGPD e Segurança Cibernética. O workshop que foi híbrido e contou com a participação de mais de 400 lideranças de empresas interessadas em entender como funcionarão as sanções da lei, que passaram a vigorar agora no mês de março. De acordo com a diretora, a regulamentação abarca de forma ampla todos os atenuantes e agravantes porque a própria lei traz uma série de elementos que devem ser levados em consideração pela Autoridade Nacional de Proteção de Dados.

Espírito de cooperação e pró-atividade das empresas pode reduzir valor das multas

Membros da Autoridade Nacional de Proteção de Dados participaram do Workshop promovido pelo Ciesp e a Fiesp

Ela também lembrou que todas as normas foram amplamente discutidas com a sociedade e contou com mais de 2.500 contribuições durante uma consulta pública. A ideia, de acordo com Míriam, a Autoridade está sempre pensando com o princípio da abordagem responsiva.

A abordagem deve ser responsiva, enquanto órgão regulador entre aspas, não é aplicar multas, mas, sim, induzir ao cumprimento da legislação. O objetivo é que todos cumpram a lei e que os usuários tenham os seus dados respeitados e a abordagem responsiva parte do pressuposto de que é possível induzir comportamentos, sem necessariamente fazer uso imediatamente ou unicamente de punições”, disse a diretora.

Na mesma linha, o diretor-presidente da Autoridade Nacional de Proteção de Dados, Waldemar Gonçalves Ortunho Júnior, ressaltou o princípio responsivo da atuação e destacou a importância de uma governança eficiente, visto que hoje em dia não há empresa que não trate de dados pessoais.

A chegada da LGPD não é para travar o uso de dados, de forma alguma, mas, sim, para tratar os dados de forma mais responsiva e mais responsável possível. É muito importante firmar que o nosso objetivo é o responsivo. Faremos o monitoramento e todo o trabalho educativo e a obrigação maior, aí sim, se não for cumprida, usaremos o último recurso que o sancionamento. Para a ANPD, o ideal é que essa ferramenta não seja usada, mas sabemos que isso é impossível”, alertou Waldermar, que considerada a norma justa para manter o equilíbrio entre gravidade e penalidade.

O diretor-presidente também lembrou da trajetória da lei que, segundo ele, teve grande inspiração na legislação europeia. Ele considera a LGPD complexa por ter 65 artigos e diz apostar no fortalecimento da estrutura da ANPD com capacidade de autarquia e aumento do RH com concurso público. Hoje a ANPD brasileira tem 80 servidores, enquanto órgão semelhante do Reino Unido tem mil, explicou Waldermar. O diretor-presidente lembrou ainda que na semana passada foram divulgados os primeiros oito casos de sanção por descumprimento à LGPD. Um refere-se a órgão estatal e os outros sete à empresas privadas.

O coordenador-geral de fiscalização da Autoridade Nacional de Proteção de Dados, Fabrício Guimarães Madruga Lopes, disse que só sociedades profundamente civilizadas têm condições de se preocupar com proteção de dados e que fica orgulhoso de saber que o país chegou até este nível. Ele explicou que existem empresas mais preparadas que estão na fase do diálogo, promovendo as mudanças, “ainda que dolorosas”, e interessadas em manter um diálogo produtivo. “A NPD não é o escopo da nossa atuação, mas, sim, o titular de dados e o direito fundamental”, afirmou Fabrício.

Custos

O diretor do Departamento de Defesa e Segurança (Deseg), da Fiesp, Rony Vainzof, contou que no caso da União Europeia, das 10 maiores sanções administrativas, boa parte não envolve incidentes de segurança, mas, sim, ausência de transparência, de base legal e tratamento irregular de dados de crianças e adolescentes. Outro dado lembrado por ele é o de que se o cibercrime fosse um Estado, representaria a 3ª maior economia do mundo hoje, depois dos EUA e da China, com um PIB de U$$ 10,5 trilhões. Roni afirmou ainda que 88% dos conselhos das empresas consideram a segurança cibernética como um risco comercial e não apenas um problema técnico de TI, além disso, de acordo com dados de um relatório da IBM, um incidente cibernético envolvendo dados pessoais custou em média US$ 4,35 milhões.

Se você tem um plano de resposta a incidentes maduro, se você faz simulação e o time é treinado, você diminui esse custo em cerca de US$ 2 milhões por incidente cibernético”, disse Roni.

No Painel “Como mitigar o risco de sanções: de medidas de governança ao plano de resposta a incidentes”, a advogada do Itaú-Unibanco e membro do Conselho Nacional de Proteção de Dados Pessoais, Annette Pereira, e o executivo da Gartner, Luciano De Dominicis, que é especialista em Gestão de Risco e Compliance deixaram várias dicas para as empresas. Confira:

  • olhar para a empresa, avaliar os processos internos
  • ter consciência que a proteção aos dados é uma questão que põe em risco os negócios e que não é mais apenas uma questão de TI, deve envolver a alta gestão
  • ter um profissional encarregado para poder atender os titulares
  • ter um programa de governança (boas práticas)
  • ter a consciência de que nenhuma empresa está livre de ataques, por mais investimentos que tenha feito
  • fazer o monitoramento contínuo dos dados
  • ter um plano de ação para casos de incidentes
  • orientar os profissionais a não tentarem resolver tudo sozinhos. O trabalho deve ser em equipe
  • definir bem os papeis dentro da empresa
  • ser realista na hora de se planejar
  • manter uma relação próxima com o titular
  • ser pró-ativo e cessar incidentes antes que a algum órgão determine isso
  • ter consciência de que existe um mercado negro de dados que fatura em cima dos vazamentos
  • evitar pagamentos em casos de extorsão, pois em cerca de 90% dos casos, o crime volta a acontecer em menos de seis meses

Histórico da LGPD no Brasil

2010 — tema começou a ser discutido

2018 — Lei é promulgada

2020 — Lei entra em vigor

2021 — Fiscalização passou a trabalhar com denúncias de desconformidade

2023 — sanções são regulamentadas

Por: Assessoria de Imprensa do Ciesp / Ricardo Viveiros & Associados Oficina de Comunicação

Veja também:

Sobre mindsecblog 2553 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Ferrari confirma tentativa de extorsão por ransomware | Minuto da Segurança da Informação
  2. Dia Mundial do Backup: 31 de março | Minuto da Segurança da Informação

Deixe sua opinião!