LGPD requer atenção urgente diante da crise cibernética

LGPD requer atenção urgente diante da crise cibernética

Thais Carloni*

05 de dezembro de 2020 | 06h30

Thais Carloni. FOTO: DIVULGAÇÃO

Todos os dias temos visto fatos que colocam ênfase na necessidade de uma rápida e efetiva adequação da Lei Geral de Proteção de Dados (LGPD).

Nos últimos meses surgiram situações que geraram grandes dilemas e confirmam a relevância do tema, acompanhe todos estes fatos…

– Uma pane no sistema de apuração de votos durante o 1º. Turno;

– A decisão da Justiça do Distrito Federal que determinou a suspensão da venda de dados pela Serasa Experian ao custo de R$ 0,98 por dado, dentro de um portfólio de informações de aproximadamente 15 milhões de pessoas;

– A falha humana de um funcionário do Hospital Albert Einstein, que promoveu o vazamento de 16 milhões de dados pessoais, relacionados a exames de Covid, inclusive do próprio Governador Doria que durante coletiva de imprensa do dia 26, disse que sequer foi comunicado sobre o vazamento de seus dados e de outras autoridades, além de

– Ataque de hackers na Embraer;

– Mais recentemente e pela 2ª. vez – um grande estrago, um vazamento no Ministério da Saúde de dados sensíveis de todos os brasileiros cadastrados no SUS ou beneficiários de plano de saúde, ou seja 243 milhões de registros vazados de pacientes, dentre dados de nome completo, endereço, CPF e telefone. Estamos com um índice de 100% de vulnerabilidade e nas mãos de hackers muito jovens, despretensiosos e impetuosos, com o afã de gerar turbulência e despojar a privacidade de milhões de pessoas.

Com a recente Instrução Normativa de Secretaria de Governo Digital/Ministério da Economia nr. 117, de 19 de novembro e publicada no Diário Oficial do 20, determina “que deve ser indicado o Encarregado pelo Tratamento de Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, com base no art. 23, inciso III da Lei nr. 13709/2018”, no prazo de 30 dias da publicação. Deve este Encarregado estar muito bem preparado e pela normativa possuir conhecimentos: área de gestão de privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e não estar lotado na unidades de Tecnologia da Informação ou ser gestor responsável de sistemas e informação do órgão ou da entidade. Este último ponto uma indicação interessante que pode pautar diretrizes da Autoridade Nacional de Proteção de Dados (ANPD). Mas será que ele não será a vitrine da responsabilidade ou da inércia das entidades, sendo dado uma responsabilidade que cabe ao controlador ou o dono da empresa, ou até mesmo ao chefe de gabinete dos órgãos públicos.

Certamente esta corrida para regularização dos órgãos de governo se institui ainda tardiamente, tentando resguardar o rompante número de incidentes cibernéticos e acelerar processos claros de implementação e controle do programa de governança de privacidade de dados das entidades federativas. Mas este cenário não pode ficar adstrito aos órgãos públicos! Estão as empresas e entidades privadas sujeitas aos mesmos riscos que avançam numa proporção que se descasa com o tempo de implementação das organizações, além das preocupações e riscos a que se expõem os titulares de dados quando são surpreendidos pelas ocorrências de vazamentos.

O Encarregado ou Data Protection Officer (DPO) necessita de uma robusta política de segurança tecnológica e um plano de resposta a incidentes que seja firme, rápido e efetivo antes que o rombo seja maior, sem falar de impactos negativos que possam causar tantos danos que as empresas venham a fechar suas portas. Não se esqueça que a Cyrela, grande empreendedora, já foi penalizada e sua reputação é objeto de exemplo que todos os advogados utilizam para demonstrar que não se pode esperar mais para se adequar a LGPD.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18) vai acelerar uma série de ações de responsabilidade civil que pode até ser de cunho coletivo, como neste caso recente do Ministério da Saúde, alegar que o manuseio de dados é de necessidade pública, não implica que o vazamento seja desconsiderado como um risco alto impacto na administração pública.

Pode-se dizer que o processo robusto para evitar este número de número de incidentes cibernéticos envolvendo a segurança da informação é fundamental no combate aos riscos que repercutem em perda, dano ou acesso não-autorizado às informações pessoais e sensíveis fragilizam muito privacidade. Medidas planejadas e organizadas são primordiais para detecção, análise e reação rápida em situações que levem a um rompimento na tríade que configura a segurança da informação: confidencialidade, integridade e disponibilidade.

Temos que reagir rapidamente e exigir nossos direitos de proteção à privacidade.

*Thais Carloni, advogada e sócia-fundadora da Carloni Advocacia Empresarial

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.