Opinião

Vazamento de dados mostra que implementação da ANPD é urgente

Sanções administrativas estão suspensas até o próximo ano

11 de novembro de 2020

Por André Damiani e Blanca Albuquerque*

Artigo publicado originalmente no Estadão

O incidente de segurança envolvendo o vazamento de dados pessoais de 300 mil clientes da ENEL domiciliados no município de Osasco, vizinho a São Paulo, novamente ratifica a vulnerabilidade em que os sistemas operacionais brasileiros estão inseridos e a maneira como isso atinge diretamente a privacidade e proteção de dados pessoais dos cidadãos. A informação sobre o ataque hacker veio a público na segunda-feira (9).

Seguindo as orientações dispostas na Lei Geral de Proteção de Dados (LGPD), a ENEL comunicou aos titulares de dados sobre o incidente e informou que vazaram os seguintes dados: nome, CPF, RG, data de nascimento, idade, telefone fixo, telefone celular, e-mail, agência bancária e conta corrente do cliente, carga instalada, consumo estimado, tipo de instalação, leitura e endereço.

Entretanto, apesar da comunicação, é possível compreender o quão grave é o referido incidente, visto que a partir da exposição dos referidos dados pessoais, milhares de fraudes podem ocorrer envolvendo os titulares de dados que foram alvo do vazamento.

A LGPD, em vigor desde setembro, determina que em casos de incidente de segurança, o Controlador (que na LGPD tem o papel de tomada de decisões referentes ao tratamento de dados pessoais) deve informar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados, comunicando a natureza dos dados afetados; as informações sobre os titulares envolvidos; a indicação de medidas técnicas e de segurança utilizadas para a proteção dos dados; os riscos relacionados ao incidente; e as medidas que foram ou que serão tomadas para reverter ou mitigar os efeitos do vazamento.

Dizem, no âmbito do direito digital, que a questão correta a indagar não é “se” um incidente de segurança ocorrerá, mas sim “quando” ocorrerá. Contudo, os controladores devem envidar os melhores esforços para impedir que tal incidente aconteça, com a adequação à legislação em vigor, bem como por meio da adoção de políticas de governança de dados e a atuação de boa-fé, que é o que será parametrizado pela ANPD para a aplicação de sanções.

Ocorre que, apesar de a LGPD estar em vigor, as sanções administrativas estão suspensas até o próximo ano, bem como a ANPD ainda está em composição, limitando a plena eficácia, regulamentação e fiscalização dos dispositivos intrínsecos à lei.

Neste diapasão, se faz urgente a composição da ANPD para a disposição de preceitos regulamentares e fiscalização dos diversos incidentes de segurança como os que estamos presenciando ao longo da última semana.

 

*André Damiani, sócio-fundador do Damiani Sociedade de Advogados, é advogado criminalista especializado em Direito Penal Econômico e proteção de dados pessoais

*Blanca Albuquerque, associada do Damiani Advogados Associados, é advogada especializada em proteção de dados pessoais pelo Data Privacy Brasil

Notícias Relacionadas

Opinião

O IOF, a discriminação de rendas e o desvio de finalidade

Majoração do IOF deu-se de forma arbitrária e ferindo a discriminação constitucional de rendas

Opinião

O posicionamento no STF quanto à tarifação do dano moral ao trabalhador

Decisão impacta diretamente no provisionamento das empresas