Por Bárbara Breda Faber
É fato que a pandemia potencializou os ataques cibernéticos, tanto pelo home office improvisado quanto pelo despreparo com proteção de dados no tratamento realizado pelas empresas.
Os incidentes ocorridos em 2020 nos alertam da importância de adequação à Lei Geral de Proteção de Dados (LGPD). Relembre os mais marcantes:
- Honda sofre ciberataque e paralisa fábricas, inclusive no Brasil. Pode-se imaginar quanto dinheiro é perdido com a paralisação dos serviços;
- Ataque cibernético a Avon e Natura causou paralisação nas operações;
- Anvisa bloqueia o uso da videoconferência Zoom por falha de segurança com roubo das credenciais de usuários e de informações trocadas nas reuniões;
- Condenação da construtora Cyrela ao pagamento de R$10.000,00 (dez mil reais) por compartilhar dados de clientes com parceiros, sem o consentimento ou transparência ao titular de dados;
- Vazamento de dados pessoais de 300 mil clientes da Enel Osasco;
- Vazamento de dados pessoais de 4,3 milhões de clientes da Enel São Paulo;
- Ataque cibernético ao STJ deixou o sistema fora de ar por mais uma semana;
- TSE sofreu invasão cibernética e teve os dados de funcionários expostos e questionamentos sobre a segurança do sistema de eleição;
- SERASA teve determinação judicial para suspender os serviços de vendas de dados pessoais a R$ 0.98 (noventa e oito centavos).
- Ministério da Saúde teve dados de 16 milhões de pacientes com covid-19 expostos por um funcionário do Albert Einstein.
Infelizmente, os ataques cibernéticos não vão parar em 2021, as empresas devem investir em segurança digital, tendo em vista também que em 1º de agosto deste ano serão aplicadas, pela Autoridade Nacional de Proteção de Dados (ANPD), as sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD), que são as seguintes:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu 7 último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total acima;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas
O levantamento realizado pela Akamai Technologies aponta que ao menos 64% das empresas brasileiras ainda não se adequaram à Lei Geral de Proteção de Dados. As expectativas para 2021 são que as empresas se preparem melhor e se adequem à LGPD.
Bárbara Breda Faber é pós-graduanda em Direito Empresarial pela Fundação Getúlio Vargas (FGV). Bacharel em Direito pela PUC Campinas. Membro das Comissões de Direito de Família e Direito Digital da 35° Subseção da OAB Limeira/SP. Advogada associada ao escritório Campos e Faber Advogados Associados. E-mail: barbara@camposefaber.adv.br.
Deixe uma resposta