Em julho de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira penalidade contra uma empresa brasileira por descumprimento da Lei Geral de Proteção de Dados (LGPD). O fato chamou a atenção do mercado e acendeu o alerta: a fiscalização começou para valer!
No caso, a empresa estava tratando (compartilhando) dados pessoais fora das bases legais autorizativas, cometendo infração direta à LGPD, além de outras obrigações formais que não foram atendidas. Não vou me alongar no caso. Mais detalhes podem ser conferidos no processo nº 00261.000489/2022-62.
Alguns meses depois, em outubro, a ANPD divulgou a primeira condenação contra uma pessoa jurídica de direito público, o Instituto de Assistência ao Servidor Estadual de São Paulo (IAMSPE), que foi sancionado porque os sistemas por ele utilizados não apresentavam medidas de segurança adequadas aos padrões da LGPD, por conta de vulnerabilidades que permitiram o acesso desautorizado à base de dados da instituição (vazamento de dados).
Por ser uma organização de assistência à saúde, inúmeras informações pessoais de servidores públicos e seus dependentes acabaram expostas de maneira indevida, quebrando a confidencialidade de dados como “nome completo, estado civil, data de nascimento, CPF, RH, endereço e telefones e também cópias de documentos tais como RG, CNH e comprovante de residência”, de acordo com o processo nº 00261.001969/2022-41.
E, ainda no mês de outubro, outra condenação aconteceu, dessa vez contra a Secretaria de Saúde do Estado de Santa Catarina. Na ocasião, informações pessoais e relativas à saúde de inúmeros usuários do SUS foram vazadas de uma lista de espera mantida pela secretaria estadual.
De acordo com o processo nº 00261.001886/2022-51, foram vários os fatos que levaram à sanção, como a falta de comunicação aos titulares por parte do Estado acerca do incidente ocorrido, a demora para resolver o caso e a falta de medidas eficazes de segurança da informação, dentre outras causas.
Em apenas quatro meses, portanto, pelo menos três condenações foram publicadas pela ANPD, tendo como alvo organizações diversas em termos de natureza jurídica (um órgão da administração pública direta, uma entidade de direito público e uma empresa privada).
E o que podemos aprender com isso tudo? Bom, de início, cumpre salientar como todas as sanções e obrigações envolvidas nas condenações efetuadas ajudam a reforçar a compreensão de que o cumprimento da LGPD está longe de ser uma simples questão de assistir palestras ou contratar ferramentas.
O trabalho de adequação é minucioso e deve ser específico para cada realidade. A verdade é que, para evitar problemas com a lei, será necessário redesenhar processos, capacitar as pessoas que atuam na organização, revisar informações e sistemas, elaborar documentos adequados para prevenir responsabilidades e assegurar direitos, dentre inúmeras outras medidas de segurança e boas práticas.
Em alguns casos, isso pode exigir até mesmo a reformulação do modelo de negócio, tamanho o impacto da lei! Parece exagero? Só se você não entendeu como funciona a LGPD.
Sim, isso mesmo. O modo como as organizações podem lidar com informações ligadas às pessoas mudou, e de maneira significativa. Consequentemente, a organização precisa mudar, em maior ou menor grau. Por exemplo, estamos falando aqui sobre nomes, telefones, email, e outros dados que você utiliza para abordar novos clientes. Está tudo conforme as novas regras?
E os seus colaboradores? Estão preparados para lidar com as contestações, perguntas e exigências dos titulares? Se alguém denunciar sua empresa, ela passaria ilesa pela fiscalização? Se o seu cliente ou parceiro realizasse uma auditoria, qual seria o seu score?
Ou então aquela planilha com dados pessoais de inúmeros ex-clientes que você ainda guarda em alguma pasta por aí. Sabe o prejuízo que você pode ter se esses arquivos caírem nas mãos erradas? Além de multas, você pode ter que pagar indenizações. Fora os danos reputacionais e o abalo nas relações que você mantém com o mercado (clientes, fornecedores, parceiros, investidores etc.).
Sim, é preciso aceitar o fato de que a LGPD tem o condão de modificar a realidade do mercado, gostemos ou não. Todavia, alguns empresários, lamentavelmente, ainda não compreenderam isso. Parece que estão esperando a fiscalização bater na porta ou o primeiro incidente grave de segurança acontecer - mal que, infelizmente, acomete também alguns gestores públicos, pelo que vemos por aí. Mas as coisas estão mudando, estamos vendo muita gente se mexendo já.
Enquanto isso, empresas e órgãos públicos seguem na mira da lei. Os trabalhos da fiscalização começaram agora. Condenações judiciais também estão acontecendo. E as grandes organizações estão cobrando que seus fornecedores e parceiros estejam em conformidade com a LGPD. E o que podemos aprender de melhor está no erro dos outros. É preciso correr, e não há muito por onde fugir.
*Gabriel Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD .
