Tem crescido no Brasil as notificações de vazamentos de dados por parte de empresas, repartições e entidades em geral. E isso ocorre porque a Lei Geral de Proteção de Dados (LGPD) determina que o portador de dados de terceiros faça um Comunicado de Incidentes de Segurança (CIS) à Autoridade Nacional de Proteção de Dados (ANPD), e ao titular das informações, sempre que houver vazamento capaz de acarretar risco ou danos relevantes ao cidadão. Entre 2021 e 2022, o crescimento nas notificações foi de 54,3%.
Publicada em 14 de agosto de 2018, a LGPD só entrou em vigor em agosto de 2020. As sanções previstas passaram a valer apenas um ano depois. Mas, para que as multas pudessem ser aplicadas, foi preciso ainda estabelecer a dosimetria das penalidades, que só foram regulamentadas em fevereiro passado.
Assim, a primeira sanção só ocorreu em julho. O alvo foi uma microempresa de telecomunicações, com sede em Vila Velha (ES). Além de uma advertência por falta de um encarregado pelo tratamento de dados pessoais, o chamado DPO, a empresa recebeu duas multas, de R$ 7,2 mil cada, por inadequações à lei.
Chamou atenção o fato de a primeira multa no Brasil ter sido dirigida justamente a uma microempresa, num país onde abusos foram relatados envolvendo grandes redes de farmácias e operadoras de telefonia, só para citar alguns casos.
Muito se discutiu, antes da vigência da lei, que as micro e pequenas empresas teriam muita dificuldade em fazer sua adequação devido aos custos do compliance com a LGPD. Mas muito também se alertou que a lei seria para todos. E esse é o ponto.
Por isso, chama atenção o estudo IT Trends Snapshot 2023 da Logicalis. Ele revelou que dois anos após a vigência da LGPD, apenas 36% das empresas entrevistadas declararam estar em total conformidade com as regulamentações.
Para o advogado Alexander Coelho, do Godke Advogados e especializado em Direito Digital e Proteção de Dados, a baixa adesão, associada ao crescimento no volume de vazamentos, tende a resultar num maior número de multas nos próximos meses.
Coelho explica que as sanções ainda são reduzidas no Brasil porque a ANPD está se estruturando e formando seus quadros, tendo promovido seu primeiro concurso em janeiro deste ano.
Por isso, muitos processos ainda estão na fase administrativa, a maioria ligados a instituições da administração pública e empresas dos setores de saúde, educação, financeiro e tecnologia da informação.
O aumento nos comunicados indica que as empresas e entidades estão mais temerosas às sanções da LGPD. A vulnerabilidade é geral e o Brasil segue devendo uma campanha que eduque a população a resguardar seus dados e cobrar pelo mau uso deles.