Em menos de um mês da validade das sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), reverberam na imprensa notícias de que grandes empresas são vítimas de ataques cibernéticos capazes de comprometer a segurança dos dados pessoais controlados por essas organizações e, portanto, acarretar eventuais punições.
No atual cenário de plena vigência da LGPD, atrelada à incessante informatização de procedimentos realizada pelas empresas, as ameaças de hackers também tendem a ser mais frequentes e, por consequência, a preocupação das organizações, não somente em relação à adequação à Lei, mas também por ações técnicas e jurídicas de contingência que, necessariamente, devem ser tomadas quando um incidente de segurança de dados vir à tona.
A LGPD contém previsões específicas no que tange às respostas em caso de incidentes de segurança, como o ocorrido com as Lojas Renner há poucos dias, tais como a comunicação do evento em prazo razoável à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares eventualmente afetados, esclarecendo os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ciente do incidente de segurança, a ANPD deverá apurar o ocorrido mediante procedimento administrativo específico e, se constatada a responsabilidade por parte da organização, aplicar as sanções previstas no artigo 52 da LGPD, tais como advertência, publicização da infração, suspensão do exercício da atividade de tratamento, suspensão parcial do funcionamento do banco de dados, bem como multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração constatada.
Diante da nova realidade trazida pela LGPD e de tantos ataques, é evidente a seriedade do tema em razão das consequências de um incidente de segurança e pelas possíveis sanções aplicáveis, sem falar no dano aos negócios e à imagem da empresa envolvida na invasão.
Por isso, é parte importante de uma adequada implementação da LGPD definir os procedimentos e medidas técnicas e jurídicas de contingência a serem adotadas caso um incidente de segurança ocorra.
*Willian de Souza Campos da Silva, advogado e especialista em Direito e Processo Civil e em Proteção de Dados