Em 27 de fevereiro, a Autoridade Nacional de Proteção de Dados publicou a Resolução ANPD nº 4/23, que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Com isso, a partir de agora, poderão ser alvo de multas e penalidades administrativas as empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD).
A analista Jurídica da CNseg, Mariana Mendonça, explica o que esse Regulamento de Dosimetria define. “O Regulamento de Dosimetria, regulamenta o artigo 53 da Lei Geral de Proteção de Dados (LGPD), para definir a metodologia de escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD, bem como, quando for o caso, o cálculo do valor-base das sanções de multa, levando em consideração a proporcionalidade entre a sanção aplicada e a gravidade da conduta”.
Segundo ela, a CNseg, por meio da sua Comissão da Lei Geral de Proteção de Dados Pessoais (CLGPD), debate e avalia regularmente os temas afetos à LGPD, além de ajudar a subsidiar as manifestações da Confederação frente à regulamentação da LGPD pela Autoridade Nacional de Proteção de Dados.
“Neste sentido, a CNseg enviou contribuições à época da Consulta Pública, na qual foi debatida a minuta de norma que resultou na Resolução ANPD nº 4/23, com vistas a agregar a experiência do setor e endereçar questões pertinentes para a garantia da segurança jurídica na aplicação das sanções pela ANPD”.
Primeiras multas
E as primeiras multas já começaram a ser aplicadas depois de muito tempo de vigor da LGPD. A Coordenação-Geral de Fiscalização da ANPD (CGF/ANPD) multou a empresa Telekall Infoservice. Como é uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, totalizando uma multa de R$ 14.400,00.
“Essa é uma esperança que surge em relação ao tema, visto que até o momento não se observava efeito da LGPD. Lembrando que a lei já está em vigor desde setembro de 2020, mas, apesar das infrações já terem sido estabelecidas, essa norma era necessária para a aplicação das sanções e para dar andamento aos processos parados”, explica Afonso Morais, CEO da Morais Advogados Associados e especialista em direito digital e fraudes.
As multas são pesadas, podendo chegar a 2% do faturamento das empresas, tendo como teto o valor de 50 milhões de reais por infração. Espera-se que com isso os cuidados por parte das empresas sejam maiores, pois até o momento o que se observa é que ligações e mensagens indesejadas para os consumidores pelos mais variados meios não tiveram grandes alterações.
“Os números de tentativas de golpes que usam dados pessoais estão em crescente. A realidade é que, para as leis funcionarem no Brasil, é preciso um intenso trabalho de fiscalização e punição. Como ocorreu em relação à legislação que proibia fumar em locais públicos e com o uso obrigatório do cinto de segurança, as normas surtiram efeito em razão do receio da punição. A LGPD é muito boa, mas é preciso fiscalização para que ela funcione”, explica Afonso Morais.
Para entender melhor, a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas. Para que essa lei seja aplicada, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
Esse órgão aplicará as sanções em razão das infrações cometidas, que estão previstas no artigo 52 da LGPD em caso de descumprimento, entre as quais estão: advertência; multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício; multa diária; e publicização da infração.
“Em resumo, é função da ANPD zelar pela proteção dos dados pessoais e lutar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando da quebra do sigilo. Mas, infelizmente, ainda não se tem observado a ação efetiva dessa autoridade”, explica Afonso Morais.
Ele complementa ressaltando que a ANPD já está em funcionamento e recentemente informou que pretende triplicar funcionários, devendo chegar a 315 funcionários. Além disso, para 2023, a entidade tem um orçamento de R$ 50 milhões. Em contrapartida, observa-se que até fevereiro de 2023 ainda não se tinha aplicado nenhuma multa contra empresas privadas ou empresas estatais que descumpriram a legislação.
Por isso, há a positividade dessa nova norma, que pode fazer com que a LGPD realmente ganhe força, com uma atuação mais incisiva da agência. Temos uma excelente lei de proteção de dados, o que está faltando é que ela entre efetivamente em vigor agindo dentro de suas obrigações legais, que é o combate ao vazamento de dados. Isso com certeza traria como resultado a redução de golpes e fraudes que são alimentados com vazamento de dados.
Adequação das empresas
Segundo Lucas Alves da Silva Bonafé, especialista em direito digital e proteção de dados da Machado Nunes Advogados, uma empresa que deseja se tranquilizar a respeito das exigências regulatórias sobre privacidade não precisa entrar em pânico, apenas se organizar.
“O primeiro passo que uma instituição deve identificar para se tranquilizar sobre as exigências regulatórias de privacidade é mapear seus processos de negócio com o objetivo de identificar quais dados pessoais são utilizados para a realização das atividades de negócio; quem consome e com quem compartilho esses dados; onde essas informações estão armazenadas e quem possui acesso a elas”, explica.
Após a identificação dos dados pessoais trafegados e de suas respectivas finalidades para as atividades de negócio, a empresa deverá definir as regras de utilização, os procedimentos de governança que serão implementados e o profissional que será responsável pela privacidade, ou seja, o Encarregado de Proteção de Dados Pessoais — Data Protection Officer.
“Para a realização das tarefas elencadas, é recomendável que a empresa busque um profissional ou um time especializado que possa auxiliar na realização das atividades e na identificação das prioridades do Programa de Privacidade”, explica Lucas Bonafé.
Os suportes jurídicos e técnicos deverão auxiliar no desenvolvimento de trabalhos internos que correspondam ao orçamento e ao tempo que a organização poderá investir nas implementações indicadas.
Por fim, recomenda-se que exista um profissional interno que seja o ponto focal entre organização e profissional ou time especializado, que deve possuir autonomia e considerável poder de decisão sobre o tema para fluidez nos ajustes necessários.
Para pequenas empresas é mais simples
Empresas de pequeno porte e startups também devem cumprir essas regras, contudo, as regras se diferenciam das demais empresas. A Resolução apresentou regras mais simples para tais instituições, considerando o tamanho de suas operações.
“Dentre as diferenças, ressaltamos alguns pontos: a realização do Registro das Atividades de Tratamento (“mapeamentos” de processos) de modo simplificado; e prazos em dobro para atendimento das solicitações dos titulares; comunicações dos Incidentes de Segurança e eventuais requisições a serem regulamentadas pela ANPD”, explica Lucas Bonafé.
Ele destaca que é importante estar atento, pois as fiscalizações pela ANPD já começaram. “A dosimetria regulamentou os tipos de danos e a forma de aplicação de todas as sanções previstas na lei, porém, como a LGPD está em vigor desde 2020, as autoridades já possuem competência para analisar as infrações à lei”, explica.
Isso encerra a dúvida das empresas que acreditavam ou torciam para que a legislação não “pegasse”, pois, além das fiscalizações e dos processos administrativos que poderão ser promovidos pela ANPD, as instituições deverão observar que o assunto está ganhando cada vez mais protagonismo na sociedade, sendo amplamente divulgado em diversos ambientes.
Esse crescente debate sobre o uso de dados pessoais pelas empresas está levando consumidores e usuários a entrarem em contato com as instituições sobre o uso de dados e a realizarem questionamentos formais aos órgãos de defesa do consumidor e até ao Poder Judiciário sobre o tema.
Próximos passos
A ANPD, no final do ano passado, publicou a sua agenda regulatória para o biênio 2023/2024, no qual elenca 20 ações que serão realizadas nesse período. Todas as ações de alguma maneira impactam as empresas, pois regulamentam temas previstos na LGPD.
“Dentre os pontos, destacamos: os direitos dos titulares de dados pessoais; atribuições do encarregado e quais empresas não necessitam dos profissionais; e definição do que é um tratamento de dados de alto risco e larga escala”, explica o advogado da Machado Nunes.
Além da elaboração e das respectivas publicações de normativas acerca de temas que carecem de maior aprofundamento e pontos controvertidos sobre o assunto, os diretores da ANPD sistematicamente em seus encontros reforçam que, em que pese a repreensão necessária para inibir a violação à lei, a prioridade da agência é a conscientização e apresentação das boas práticas no uso de dados pessoais.
“Em relação aos demais movimentos regulatórios, entendemos que as entidades de classe e os demais setores de indústrias e serviços, sobretudo aqueles altamente regulados, deverão articular-se cada vez mais para que as obrigações voltadas às questões de privacidade estejam coerentes com a realidade vivenciada por cada categoria”, finaliza Bonafé.
Apoio da Lojacorr
Para garantir a conformidade com a nova lei, a proteção dos dados dos seus clientes e a continuidade dos negócios, a Lojacorr vem se preparando com o apoio de uma consultoria especializada que instituiu o Comitê de Segurança da Informação, para apoiar as adequações da rede à LGPD e nomeou o encarregado de proteção dos dados, chamado de DPO (Data Protection Officer).
Foram adquiridos dois treinamentos “Fundamentos Básicos sobre a LGPD” e “Engenharia Social e Riscos Cibernéticos” que estão disponibilizados gratuitamente para todos os integrantes da Lojacorr. Os treinamentos podem ser acessados por meio da Universidade Treinacorr e ajudarão as Unidades e Corretoras de Seguros a se adequarem à LGPD.
De acordo com a Dra. Télia Oliveira, advogada e DPO da Rede Lojacorr, a LGPD é uma responsabilidade de todas as áreas e o intuito da Rede Lojacorr é a adequação à lei e a proteção dos brasileiros, começando pelas suas informações pessoais.
“Todos os contratos com os colaboradores, corretoras da rede e parceiros do ecossistema estão sendo revisados e adequados à LGPD. Da mesma forma que os processos, procedimentos internos e mapeamentos do fluxo de informações estão sendo revisados e adequados. Foram feitos investimentos e adequações em controles, monitoramentos e camadas de segurança de infraestrutura e sistemas. Foi elaborada também um Política de Segurança da Informação (PSI) que traz as novas normas sobre a segurança da informação da Rede Lojacorr”, explica.
As atividades a serem realizadas para a proteção dos dados pessoais dos segurados coletados por unidades e corretores são:
- Assinar acordos de sigilo com funcionários e prepostos e orientá-los a somente utilizar os dados dos segurados para contratação e movimentação das apólices. Tomar cuidado com o colaborador/preposto que tiver o contrato finalizado com a corretora, para que ele não leve cópia da base de dados.
- Não comercializar ou repassar os dados dos segurados a terceiros.
- Adequar os computadores da unidade e corretora (instalar firewall, antivírus, revisar permissões de acesso etc) para evitar que crackers obtenham acesso não autorizado ou vírus sejam instalados nos computadores e, de alguma forma, tenham acesso a dados pessoais, principalmente se os dados pessoais forem armazenados em arquivos ou sistemas fora do Broker. Obter suporte especializado próprio, na área de segurança da informação.
- É primordial que as corretoras e as unidades tenham um responsável pela infraestrutura e tecnologia de sua empresa, seja funcionário ou terceiro, que possa orientá-las sobre o que é necessário fazer para garantir a segurança das informações pessoais dos segurados e de seus funcionários.
- A corretora terá que obter autorização do segurado na ocasião da contratação do seguro, para que possa coletar os dados pessoais dele para fazer a proposta de seguro, transmitir a proposta para seguradora, enviar e-mail marketing etc;
- Excluir todos os dados pessoais dos segurados de seus sistemas, após cinco anos contados da última vigência da apólice.
- Informar qualquer vazamento de dados dos segurados que tiver ciência à Rede Lojacorr (através de funcionário, preposto, cracker, vírus, inclusive se perder algum dado do segurado que não esteja cadastrado no Broker One) em até 24h contados da data em que tiver conhecimento do vazamento.
- Informar imediatamente à Rede Lojacorr se receber qualquer contato de segurado solicitando informação sobre a utilização de seus dados pessoais ou se ele solicitar a exclusão de seus dados do sistema (o consumidor agora tem esse direito).
- Não extrair dados confidenciais de sistemas (Broker ou Seguradora) e inseri-los em sistemas não homologados pela Rede Lojacorr;
- Não enviar e-mail marketing para o segurado que não tiver autorizado previamente o recebimento deste e-mail (é necessário pedir o aceite formal antes de enviar). Comunicações enviadas sem o aceite do segurado são consideradas mensagens não solicitadas e pode ser caracterizada como spam. Quando o segurado não mais desejar receber e-mails marketing, a corretora deverá remover seu nome imediatamente da lista de envio, respeitando a sua decisão.
- Em caso de desligamento de colaboradores ou prepostos da unidade ou corretora, se eles possuírem credenciais de acesso aos sistemas, solicitar imediatamente o bloqueio dos acessos aos responsáveis pelo Broker One.
Dra. Télia explica que é importante que as empresas localizem o fluxo de dados pessoais e identifiquem quais repositórios locais, ou em quais serviços de nuvens os dados dos seus clientes e colaboradores estão armazenados.
Além disso, é importante saber como é feito o tratamento dessas informações, quem tem acesso, por onde são compartilhadas e por quanto tempo são mantidas.
“Essa nova lei chegou para ajudar, por isso precisamos nos organizar e segui-la corretamente para continuar com a nossa missão de proteger, além de ser uma grande oportunidade para elevar a segurança de sua empresa”, finaliza.
