As invasões recentes a sites do governo federal trazem urgência para que a LGPD (Lei Geral de Proteção de Dados Pessoais), em vigor desde agosto de 2021, mostre realmente a que veio no Brasil. A avaliação é de especialistas entrevistados pela FOLHA.

Imagem ilustrativa da imagem Para especialistas, LGPD precisa mostrar a que veio
| Foto: iStock

Além dos sites do Ministério da Saúde e do ConectSus, a CGU (Controladoria-Geral da União), a PRF (Polícia Rodoviária Federal) e o IFPR (Instituto Federal do Paraná) foram alvos de ataques cibernéticos em dezembro.

O advogado especialista em direito digital e crimes cibernéticos Francisco Gomes Júnior, presidente da ADDP (Associação de Defesa de Dados Pessoais e do Consumidor), considera que a LGPD passa hoje por um teste prático.

O especialista Francisco Gomes Júnior considera que a LGPD passa hoje por um teste prático
O especialista Francisco Gomes Júnior considera que a LGPD passa hoje por um teste prático | Foto: Divulgação

“É sabidamente uma boa legislação, inspirada na GDPR europeia, mas agora deverá se mostrar efetiva em situações práticas, violações efetivas que sofremos em relação a nossos dados por deficiências de cibersegurança. É um momento crucial em que a ANPD poderá se firmar e conquistar credibilidade. Como os vazamentos são numerosos e atingem milhões de pessoas, a sociedade observa com atenção as providências que serão adotadas”, diz.

A GDPR europeia é o Regulamento Geral sobre a Proteção de Dados, lei sobre privacidade e proteção de dados pessoais aplicável a todos os indivíduos na União Europeia que começou a vigorar em 2018. A ANPD, por sua vez, é a Autoridade Nacional de Proteção de Dados, órgão ligado ao governo federal responsável por fiscalizar e multar pessoas físicas e empresas com base na LGPD.

As sanções previstas pela LGPD estão em vigor desde 1º de agosto de 2021. “Mas o que se nota em um primeiro momento foi uma postura mais orientativa e educativa por parte da ANPD. As multas devem ser incrementadas mais fortemente a partir de janeiro de 2022”, afirmou o especialista em direito digital e crimes cibernéticos.

Gomes Júnior destaca que as sanções previstas não são somente as multas, já que pode haver advertência ou mesmo proibição em realizar tratamento de dados.

“Após as apurações, as multas para pessoas físicas e jurídicas serão fixadas em cada caso, avaliando-se a gravidade da violação, o número de vítimas e as providências de mitigação tomadas. Não há um limite preestabelecido. É preciso destacar que, para pessoa jurídica, há um limite máximo do valor da multa de 2% do faturamento da empresa. Na prática, se uma empresa fatura R$ 100 milhões por ano, o limite da multa será de R$ 2 milhões”, esclarece.

TIPIFICAÇÃO

Os vazamentos de dados constituem crimes cibernéticos previstos inclusive em legislação específica (a denominada Lei Carolina Dieckmann) e no Código Penal (interrupção fraudulenta de serviços de telecomunicações).

A Lei Carolina Dieckmann entrou em vigor em abril de 2013, alterando o Código Penal para tipificar como infrações uma série de condutas no ambiente digital, principalmente em relação à invasão de computadores, além de estabelecer punições específicas, algo inédito até então.

Para o advogado, apesar da evolução, falta ainda uma melhor tipificação desses crimes, descrevendo-se condutas específicas.

“A legislação atual prevê penas pequenas de no máximo um ano de detenção, o que não é suficiente para inibir devidamente as práticas ilegais. É necessário que se construa uma legislação que defina os crimes cibernéticos (todas as condutas possíveis) e sejam estabelecidas maiores penas. Seria um complemento para que a legislação de proteção de dados tenha seu equivalente criminal”, defende.

Caso o vazamento tenha sido em virtude de um acesso não autorizado em redes de computadores de terceiros, o ato também pode configurar como invasão de dispositivo informático, previsto na Lei Carolina Dieckmann. A pena varia de 3 meses a 1 ano de prisão.

O advogado explica que, em caso de vazamento de dados, são responsáveis solidários perante os lesados tanto a empresa como o encarregado da guarda das informações. “Caso qualquer pessoa tenha seus dados vazados, ela tem o direito de ingressar com ação judicial pleiteando danos materiais e morais”, orienta.

Ele acrescenta que há vários casos de condenação por danos materiais e morais em ações judiciais promovidas por vítimas de violações de dados e vai se formando, aos poucos, uma jurisprudência sobre o tema.

Uma das grandes questões que ainda geram dúvida a respeito da aplicabilidade da LGPD é se a ANPD, de fato, teria autonomia suficiente para multar órgãos governamentais, uma vez que está subordinada à Presidência da República.

“A aplicação da LGPD é tanto para as empresas como também para o governo, diferenciando apenas que as multas não são aplicadas para agentes públicos. Em caso de fiscalização necessária, a ANPD poderá sim fiscalizar órgão do governo e enviar informe com medidas cabíveis para fazer cessar a violação”, explica Davis Alves, presidente da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados).

FALHA HUMANA

Alves destaca que 80% dos incidentes de segurança acontecem por falhas humanas, sendo grande parte de modo não intencional.

“Logo, uma pessoa física tem grandes chances de provocar vazamento de dados por simples descuido ou até mesmo de modo intencional. Mas nesses dois casos a LGPD não prevê punições para esses indivíduos como pessoas físicas”, esclarece.

Davis Alves acrescenta que diversos profissionais das áreas de tecnologia, segurança da informação e do direito têm buscado se especializar para atuar no tema proteção de dados.

“Entretanto, faltam profissionais capacitados, o que acaba sendo cada vez mais evidente devido ao aumento dos ataques cibernéticos. Enquanto não houver incentivo público para formações e aumento do número de profissionais encarregados de proteção de dados, ficarão cada vez mais comuns ataques como o ocorrido com o Ministério da Saúde”, conclui.

ANPD

Por meio de nota, a ANPD confirmou que, até 15 de dezembro de 2021, não houve nenhuma penalização a empresas que desrespeitaram a LGPD. A Autoridade Nacional de Proteção de Dados informou que, de janeiro a novembro de 2021, foram recebidas 435 denúncias e realizados 24 procedimentos fiscalizatórios.

Conforme o artigo 52 da LGPD, a ANPD não tem autorização para multar um órgão governamental. “No entanto, existem outras sanções que poderão ser aplicadas aos órgãos públicos, como advertência, publicização da infração, bloqueio ou eliminação dos dados, suspensão parcial, total ou proibição total do funcionamento do banco ou da atividade de tratamento dos dados”, explicou.

A ANPD acrescenta que, havendo indícios de fraude no tratamento dos dados do titular, orienta-se que seja formalizada denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente. Mais informações podem ser obtidas no site www.gov.br/anpd.