A proteção de dados pessoais, fiscalizada no Brasil pela ANPD – Autoridade Nacional de Proteção de Dados, demanda uma atuação muito mais responsável na guarda e uso das informações pelas empresas brasileiras, sejam elas da iniciativa privada ou da esfera pública.
Um dos insights mais recentes, mostrando que a segurança de dados pessoais deve se aplicar a todos os empreendimentos, vem de decisão da Coordenação de Fiscalização da ANPD. O órgão fiscalizador da Lei Geral de Proteção de Dados concluiu um processo administrativo contra o Iamspe – Instituto de Assistência ao Servidor Público Estadual de São Paulo, órgão público do Governo do Estado de São Paulo.
A investigação teve início após denúncia sobre uma falha de segurança no site sob controle do Governo do Estado de São Paulo. A vulnerabilidade nos sistemas de informação do Iamspe permitiu acesso a sua base de dados, sem quaisquer restrições. Assim, qualquer terceiro conseguia consultar um amplo conjunto de dados pessoais que estavam sob a guarda do órgão, tais como nome completo, estado civil, data de nascimento, CPF, endereço e telefones, além das cópias dos documentos pessoais, entre eles RG, CNH e comprovante de residência.
Um dos pontos de atenção da referida decisão trata sobre a atuação da empresa frente ao incidente de vazamento de dados pessoais.
“(…) o IAMSPE sofreu um incidente de segurança e não comunicou os titulares de dados de forma clara, adequada e tempestiva sobre quais de seus dados pessoais poderiam ter sido objeto desse incidente. A falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” (Processo Administrativo Sancionador n. 00261.001969/2022-41)
Infração grave e medidas corretivas
Para a dosimetria das sanções a serem aplicadas ao Iamspe, o órgão regulador considerou, entre outros pontos, a demora da empresa infratora em tomar medidas para dar ciência aos prejudicados sobre o vazamento dos dados e, assim, classificou a infração como grave:
“Isso porque o titular não sabe que seus dados foram expostos e, com isso, não é capaz de adotar os cuidados necessários para evitar uso indevido de identidade, proteger-se de fraudes financeiras e de outros danos que a exposição de dados possa causar. No caso concreto, os dados expostos permitem que o titular sofra esse tipo de dano, além de perturbações por ligações indevidas e fraudes em processos de autenticação ou validação de identidade em serviços específicos.” (Processo Administrativo Sancionador n. 00261.001969/2022-41)
Apesar da gravidade do vazamento dos dados, a decisão não prevê multa ao Iamspe por se tratar de órgão público. Contudo, nos traz importantes reflexões quanto à segurança de dados pessoais e sua respectiva segurança:
-
Fica evidente a obrigatoriedade de as empresas terem um plano de contingência para o caso de ocorrer um vazamento;
-
A falta de adequação às novas obrigações da LGPD está sendo fiscalizada, principalmente mediante denúncias, e pode gerar multas de até 2% do faturamento da empresa;
-
A falta de segurança dos dados gera, além das sanções e multas, a perda de credibilidade e desvalorização da marca, já que, comprovadamente, as pessoas e empresas tendem a cortar relação com empresas que são condenadas.