A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente um regulamento que estabelece critérios para classificação das penalidades decorrentes do descumprimento da Lei Geral de Proteção de Dados, além de propor a metodologia de cálculo do valor dessas multas.
As infrações serão classificadas como leves, médias ou graves, considerando, dentre outros parâmetros: a boa-fé, a reincidência, a cooperação e adoção de medidas corretivas e a aplicação de boas práticas de segurança e governança.
A boa notícia é que o regulamento prevê circunstâncias atenuantes, dentre elas, uma série de descontos no valor das multas. Os percentuais são cumulativos e variam de 5 a 75%, mediante a comprovação de que a empresa cessou a infração e que possuía políticas e mecanismos de boas práticas de segurança e de governança.
Outro indicativo de que é preciso ter um olhar atento para este tema, diz respeito à divulgação pela ANPD do formulário de comunicação de incidentes de segurança, que traz questionamentos expressos sobre a aplicação de práticas de segurança, tais como:
a) Políticas de segurança da informação e privacidade;
b) Criptografia;
c) Múltiplos fatores de autenticação;
d) Antivírus e Firewall;
e) Controle de acesso;
f) Plano de resposta a incidentes;
j) Monitoramento; dentre outros controles.
Muito além da redução do valor das multas, o propósito da aplicação desses mecanismos de segurança é a proteção dos ativos de informação do seu negócio, que pode ser por meio do uso de tecnologias mais seguras, estruturação de políticas de privacidade e segurança, criação de procedimentos internos, disseminação da cultura de segurança aos colaboradores, dentre outras práticas, objetivando manter seguros segredos industriais, estratégias, descrição técnica de produtos e dados de clientes e fornecedores.
A adequação à LGPD não depende apenas de grandes investimentos em tecnologia ou soluções de segurança. A empresa pode iniciar revisando fluxos internos que envolvam dados pessoais, criando políticas e procedimentos, além de treinar seus colaboradores sobre os cuidados básicos para evitar o uso indevido e manutenção segura dos dados.
Fica evidente que este é um novo risco que deve ser monitorado e mitigado constantemente nas empresas, sendo fundamental o apoio jurídico e técnico especializado para implementar uma boa estrutura de governança, com políticas e mecanismos que demostrem a existência de uma cultura eficiente de proteção de dados.