Três anos de LGPD: mais de 600 casos já foram registrados na Agência Nacional de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) comemora, nesta segunda-feira (18), três anos de vigência no Brasil e estipula diretrizes que empresas devem obedecer ao manipular dados pessoais, além de especificar as penalidades por descumprimento. Nesse período, a Autoridade Nacional de Proteção de Dados (ANPD) documentou 636 incidentes de segurança.

A Autoridade é a responsável pela fiscalização e sanções em caso de tratamento de dados realizado em descumprimento à legislação.

Segundo a ANPD, os incidentes mais frequentes envolvem o sequestro de dados, exploração de vulnerabilidades, acesso não autorizado a sistemas de informações e roubo de credenciais. Muitos desses casos resultam de deficiências na segurança que expõem dados pessoais, contribuindo para um aumento dos golpes.

A maioria costuma acontecer via redes sociais e aplicativos de troca de mensagem instantânea, onde informações são obtidas para realizar fraudes financeiras.

Desde janeiro/2023 já foi possível quantificar, os tipos de incidentes de segurança comunicados à ANPD. São eles:

• Sequestro de dados (ramsonware) com transferência de informações: 40 comunicados
• Sequestro de dados (ramsonware) sem transferência de informações: 34 comunicados
• Exploração de vulnerabilidade em sistemas de informação: 24 comunicados
• Acesso não autorizado a sistemas de informação: 19 comunicados
• Roubo de credenciais: 9 comunicados

Até o momento, a ANPD encontra-se com 13 agentes de tratamento com processos de fiscalização em andamento. Deste número, 6 processos foram iniciados em 2021, 5 processos em 2022, e 2 processos em 2023.

As sanções que poderão ser aplicadas pelo descumprimento da LGPD vão desde a advertência até multa, que pode chegar ao valor máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração. Os motivos são:

• Falta de comprovação de indicação de encarregados, ausência do envio de Relatório de Impacto (RIPD) e falta de comunicação de incidente de segurança à ANPD e aos titulares;
• Falta de comunicação de incidente de segurança à ANPD e aos titulares;
• Falta de comunicação de incidente aos titulares, ausência de comprovação que os sistemas utilizados atendem aos requisitos de segurança, ausência de comprovação da manutenção de registros das operações de tratamento de dados pessoais, não apresentação de RIPD;
• Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança.

Condições impostas pela LGPD

A LGPD impõe que as empresas que desejem tratar os dados pessoais só poderão realizá-lo nas seguintes hipóteses:

• Consentimento;
• Legitimo Interesse;
• Execução de Contratos;
• Processo Judicial ou Administrativo;
• Obrigação Legal ou Regulatória;
• Proteção à Vida;
• Tutela da Saúde;
• Realização de estudos por órgão de pesquisa;
• Proteção do Crédito.

Além dessas regras, a legislação impõe outros 10 princípios na manipulação dos dados. São eles:

• Finalidade;
• Adequação;
• Necessidade;
• Livre acesso;
• Qualidade dos dados;
• Transparência;
• Segurança;
• Prevenção;
• Não discriminação;
• Responsabilização e prestação de contas.

União é a única que pode fiscalizar LGPD

Com o passar do tempo, a LGPD passou por algumas alterações como a Emenda Constitucional n.º 115/2022, responsável pela inclusão da proteção de dados pessoais no rol de direitos e garantias fundamentais e por estabelecer a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

Com essa determinação, além de nenhuma norma poder suprimir ou limitar o direito à proteção de dados, a União passou a ser o único ente competente para legislar e fiscalizar a aplicação da LGPD, garantindo, assim, a uniformização da aplicação em todo o território nacional.

Vale destacar que, em julho deste ano, a ANPD aplicou a primeira sanção pelo descumprimento às normas da LGPD a uma empresa de pequeno porte do setor privado.

O escritório especializado em direito digital, Kasznar Leonardos, ressalta a importância da divulgação desses dados para esclarecer o cumprimento da Lei Geral de Proteção de Dados (LGPD). No segundo trimestre deste ano, foram relatados 160 incidentes de segurança, enquanto em 2022 esse número atingiu 287, e em 2021, 160.

O advogado Felipe Monteiro, sócio do escritório, diz que “Só até segundo trimestre deste ano, foram registrados 160 incidentes de segurança, quanto em todo o ano de 2022 o número foi de 287 e 160 em 2021. Este número demonstra uma preocupação crescente dos agentes de tratamento em cumprir as determinações da LGPD e cooperar com a atuação da ANPD para a fiscalização dos incidentes de segurança”.

Confira matéria na CNN