Na semana passada, a Lei Geral de Proteção de Dados (LGPD) chegou ao seu terceiro ano de vigência no País e nesse período foram registrados 636 incidentes de segurança pela Autoridade Nacional de Proteção de Dados (ANPD). A norma estabelece diretrizes a serem seguidas pelas empresas, e determina penalidades para o descumprimento dos termos, com o objetivo de proteger informações pessoais dos clientes.
Sequestro de dados, exploração de vulnerabilidades, acesso não autorizado a sistemas de informações e roubo de credenciais foram as ocorrências mais frequentes, de acordo com a entidade. Muitos dos casos acontecem devido a deficiências na segurança que expõem dados pessoais e a maioria ocorre nas redes sociais e nos aplicativos de troca de mensagens, onde informações são obtidas para aplicar fraudes financeiras.
De janeiro deste ano até o momento, já foram registrados os incidentes: sequestro de dados (ramsonware) com transferência de informações (40) e sem transferência de informações (34); exploração de vulnerabilidade em sistemas de informação (24); acesso não autorizado a sistemas de informação (19); e roubo de credenciais (9). Por enquanto, a ANPD possui 13 agentes de tratamento com processos de fiscalização em andamento. Destes, seis foram iniciados em 2021, cinco em 2022, e dois em 2023.
O número de incidentes de segurança vem crescendo, visto que, somente até o segundo semestre deste ano, foram relatadas 160 ocorrências, mesmo número de registros que no ano inteiro de 2021, enquanto em 2022 foram 287 casos. O advogado Felipe Monteiro, sócio do Kasznar Leonardos, diz que “este número demonstra uma preocupação crescente dos agentes de tratamento em cumprir as determinações da LGPD e cooperar com a atuação da ANPD para a fiscalização dos incidentes de segurança”.
As possíveis sanções para o descumprimento da lei vão de advertências a multas, que podem chegar a um valor de até R$ 50 milhões. As empresas sofrem uma punição caso não apresentem os relatórios previstos, não comuniquem incidentes de segurança à ANPD e aos titulares, não comprovem a segurança de seus sistemas ou na ausência de medidas de segurança.
