ANPD – COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA

Desde o dia 01 de janeiro de 2023 está em vigor o novo formulário de Comunicação de Incidente de Segurança – CIS, elaborado pela ANPD, que deverá ser utilizado pelos Controladores de Dados Pessoais para comunicação de incidentes de segurança no tratamento de dados.

A comunicação de incidente de segurança é obrigatória, nos termos da Lei 13.709/18 (LGPD), quando a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48.


O formulário é aplicável para todos os controladores de dados, ainda que sejam Microempresas, Empresas de Pequeno Porte e Agentes de Tratamento de Pequeno Porte.


Lembrando, aqui, que são agentes de tratamento de pequeno porte, nos termos da Resolução CD/ANPD n.º 2 de 27 de janeiro de 2022: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, desde que: a) não realizem tratamento de alto risco para os titulares, ressalvada a hipótese daqueles que, mesmo realizando tratamento de alto risco, estejam organizados por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados; b) não aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou, c) não pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no anteriormente.


O novo formulário traz questionamentos importantes, detalhados e objetivos sobre como, quando e quais dados sofreram um incidente de segurança, trazendo perguntas como, exemplificamente:


  • Qual o número aproximado de titulares cujos dados são tratados pela empresa/organização?
  • Se os titulares dos dados envolvidos no incidente já foram comunicados? Se sim, como foram comunicados?
  • Qual é a avaliação de risco ou dano relevante aos titulares dos dados?
  • Por qual meio tomou conhecimento do incidente, havendo a opção “Por meio da Notificação da ANPD” (ou seja, a ANPD a partir de denúncias dos próprios titulares poderá chegar até ao controlador que porventura teve um incidente de segurança e sequer estava atento a isso);
  • Qual tipo de incidente ocorreu, trazendo tipos como: 

☐ Sequestro de Dados (ransomware) sem transferência de informações. ☐  Sequestro de dados (ransomware) com transferência e/ou publicação de informações.
☐ Exploração de vulnerabilidade em sistemas de informação. ☐ Vírus de Computador / Malware.
☐ Roubo de credenciais / Engenharia Social. ☐  Violação de credencial por força bruta.
☐ Publicação não intencional de dados pessoais. ☐  Divulgação indevida de dados pessoais.
☐ Envio de dados a destinatário incorreto. ☐  Acesso não autorizado a sistemas de informação.
☐ Negação de Serviço (DoS). ☐  Alteração/exclusão não autorizada de dados.
☐ Perda/roubo de documentos ou dispositivos eletrônicos. ☐  Descarte incorreto de documentos ou dispositivos eletrônicos.
☐  Falha em equipamento (hardware). ☐  Falha em sistema de informação (software).
☐ Outro tipo de incidente cibernético.     (especifique abaixo) ☐ Outro tipo de incidente não cibernético.          (especifique abaixo)

  • Quais medidas foram adotadas para CORRIGIR as causas do incidente?
  • Quais dados foram violados?
  • Quais prováveis consequências do incidente para os titulares, tendo como tipos:

☐ Danos morais. ☐ Danos materiais. ☐ Violação à integridade física
☐ Discriminação social. ☐ Danos reputacionais. ☐ Roubo de identidade.
☐ Engenharia social / Fraudes. ☐ Limitação de acesso a um serviço. ☐ Exposição de dados protegidos por sigilo profissional/legal.
☐ Restrições de direitos. ☐ Perda de acesso a dados pessoais. ☐ Outros (especifique abaixo).

Nesse cenário, observa-se que o controlador de dados que sofrer um incidente de segurança somente vai conseguir responder os questionamentos apontados no Formulário da ANPD se estiver em conformidade com a LGPD em seus processos internos.


Abaixo, link da ANPD onde encontra-se disponível o Formulário para comunicação de incidente de segurança:

 

https://www.gov.br/anpd/pt-br/assuntos/noticias/coordenacao-geral-de-fiscalizacao-da-anpd-divulga-novo-formulario-para-envio-de-comunicados-de-incidentes-de-seguranca/formulario_cis_anpd.docx/view

FIQUE ATENTO – SAIU O REGULAMENTO DA DOSIMETRIA E APLICAÇÃO DE SANÇÕES ÀS INFRAÇÕES DA LEI GERAL DE PROTEÇÃO DE DADOS

Foi publicado no Diário Oficial da União, no último dia 27 de fevereiro de 2023, o Regulamento de dosimetria e aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) aos infratores da Lei Geral de Proteção de Dados. 

O Regulamento tem por objetivo estabelecer os parâmetros e critérios para aplicação de sanções administrativas, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa, de que trata o art. 52 da LGPD, assegurando, sempre, ao infrator os direitos constitucionais ao contraditório, a ampla defesa e ao devido processo legal, tudo em procedimento administrativo devidamente instaurado para apuração da infração.

As penalidades por infração à LGPD e regulamentos expedidos pela ANPD passam de advertência, multa simples e multa diária e vão até a publicização da infração; bloqueio dos dados pessoais tratados pelos infrator e violados; eliminação dos dados pessoais tratados e violados pelo infrator; suspensão parcial do funcionamento do banco de dados tratados e violados pelo infrator; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Mais do que punir, o Regulamento tem por objetivo garantir a conformidade do infrator à legislação de proteção de dados pessoais. 

O regulamento traz, ainda, em seu Anexo I, a fórmula para cálculo das multas sobre o faturamento do infrator (ou valores fixos para infratores pessoas físicas ou pessoas jurídicas sem faturamento), que transitam entre natureza leve, média e grave, limitando-se, contudo, ao patamar máximo de R$ 50.000.000,00 (cinquenta milhões).

A íntegra do regulamento pode ser acessada no link: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf.

Uma Enron à brasileira?

LEm meio ao “embrolho” causado pelas Lojas Americanas, o Instituto Brasil de Cidadania ajuizou uma Ação Civil Pública pretendendo a condenação das Lojas Amercianas “ao pagamento de compensação por danos morais individuais e ao pagamento de indenização por danos materiais individuais, aos consumidores/investidores/acionistas individualmente considerados, danos esses a serem apurados em liquidação de sentença(…) ou, alternativamente, a condenação em “dano moral coletivo”(…) “a ser fixada pelo Juízo” e “voltada ao Fundo de Defesa dos Direitos Difusos (FDDD), previsto no ART. 13 DA LEI 7.347/85 e regulamentado pelo DECRETO 1.306, DE 9 DE NOVEMBRO DE 1994 9…)”

 

Referida organização, como defensora “de direitos ou interesses individuais ou coletivamente considerados, tendo por primado a manutenção de permanente vigília para defesa dos cidadãos civis(…)”em suas razões de ação, alega as Lojas Americanas “(…) manipulou fatos e danos, ao menos embelezou os seus balanços, e violou todas as regras de governança existentes em nosso ordenamento jurídico. Não podem os investidores minoritários e vulneráveis serem obrigados a suportarem o ônus decorrente de atos ilícitos praticados, cabendo indenização aos mesmos, na forma do artigo 927, do Código Civil.

 

Mas o cenário é muito mais desastroso do que simplesmente ver a companhia ter que indenizar acionistas minoritários, com todo respeito aos titulares da ação.

 

Não é possível assistir mais escândalos similares aos de empresas multinacionais, como a Enron, Artur Andersen (firma responsável pela contabilidade da Enron) e a WorldCOm, que mesmo publicamente investidas em práticas de governança corporativa, acabaram envolvidas em assustadoras fraudes contábeis, causadoras de bilhões de dólares em prejuízos para acionistas, funcionários, fornecedores e clientes, além da prisão de seus presidentes e administradores. Até porque, tais escândalos, de muito tempo atrás, deram lugar a leis muito mais rigorosas, como a Lei Sarbanes-Oxley, pelo menos nos EUA.

 

Em terras brasileiras, é certo que a responsabilidade civil dos administradores e contadores de sociedades por ações, envolvendo fatos dessa natureza não são pequenas, já que as demonstrações financeiras devem ser assinadas pelos administradores e contabilistas (art. 177, § 2º, Lei ), devendo a companhia adotar os princípios de contabilidade geralmente aceitos, e no caso das companhias abertas, os padrões internacionais de contabilidade, devendo, obrigatoriamente serem auditadas por auditores independentes (ainda no art. 177)

 

Daí tira-se não só a responsabilidade da própria companhia pelos prejuízos causados aos seus shareholders e stakeholders, mas também a responsabilidade civil do próprio administrador que, por CULPA ou DOLO dentro de suas atribuições ou poderes, causar prejuízos a companhia, ou ainda, violar lei ou estatuto (art. 158), o que deveria, pelo menos, na teoria, coibir mazelas como as vistas nas Lojas Americanas.

 

Portanto, mesmo tendo em conta o risco imensurável que uma fraude contábil pode causar para uma companhia e seus administradores, seja no âmbito das indenizações, multas e penalidades administrativas, perda de valor de mercado e ainda, mancha na reputação e credibilidade, a sociedade brasileira ainda é pega de surpresa, vez ou outra, com essas tragédias do ponto de vista da governança corporativa

 

E não é por falta de legislação, conteúdo e recomendações de boas práticas que uma companhia acaba caindo em uma armadilha dessa (sem aqui discutirmos se de forma propositada ou não).

 

Para os empresários, ressalto o Instituto de Governança Corporativa – IBCG, organização altamente competente e que traz discussões cotidianas e preciosas sobre a importância da Governança Corporativa nas empresas brasileira, sejam Sociedades por Ações, sejam Sociedades Empresárias (e até mesmo para o Terceiro Setor!).

 

Assim, aproveitando o ensejo do escândalo das Lojas Americanas, seria de bom tom a todos os empresários visitarem o site do IBCG, onde acharão publicações de leitura obrigatória, como as diretrizes do Código de Melhores Práticas de Governança Corporativa e a Agenda Positiva de Governança, cujo link de acesso é aqui inserido para consultas, leitura, estudos e implementação: https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=24360https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21138

 

 

Em plena “Era ESG”, é surreal confrontar-se com empresas que ainda falam o que não fazem e fazem o que não falam!!!! Por isso, empresários brasileiros, mantenham-se na legalidade e dentro das melhores práticas de governança corporativa porque o custo da não observância pode ser nada menos do que a própria aniquilação.

Rolar para cima