A General Data Protection Regulation (GDPR) entrou em vigor na Europa, no dia 25 de maio de 2018, sendo, portanto, mais de dois anos e meio de convivência com a legislação de proteção de dados que serviu de modelo para a LGDP brasileira. Nesse período, as autoridades de proteção de dados pessoais do velho continente – União Europeia, Reino Unido, Noruega, Islândia e Liechtenstein – vêm atuando para aplicar a GDPR, fazendo uso das sanções administrativas e pesadas multas às empresas que violam as regras de privacidade. Um relatório do time de cibersergurança e proteção de dados do escritório de advocacia DLA Piper1, de janeiro de 2021, destaca algumas tendências e ações interessantes sobre a atuação das autoridades de proteção de dados europeias, que abordarei a seguir.
Principais pontos e descobertas
Alguns pontos chamam a atenção no relatório da DLA Piper. O primeiro é que houve um aumento significativo no número de notificações de infrações à GDPR, passando de 278 em 2019 para 331 notificações por dia em 2020, um aumento de 19%. Em números absolutos, já foram feitas mais de 281.000 notificações de violação de dados desde o início da vigência da GDPR, sendo os campeões a Alemanha, com 77.747 notificações, Holanda, com 66.527 e fechando o pódio, o Reino Unido, com 30.536 notificações. E a tendência, segundo a DLA Piper, é que o crescimento anual continue na casa dos dois dígitos.
Outro ponto de destaque é em relação ao valor das multas aplicadas por infração às regras da GDPR. Desde a entrada em vigor da GDPR, já foram aplicadas mais de 272 milhões de Euros em multas. Somente de janeiro de 2020 a janeiro de 2021, as autoridades europeias já aplicaram em torno de 158,5 milhões de Euros em multas.
Contudo, esses números não significam que a atuação das autoridades de proteção de dados europeias tem sido impecável. Segundo a copresidente do Grupo de Proteção e Segurança de Dados da DLA Piper , Ewa Kurowska-Tober, o poder dessas autoridades de regulação tem sido duramente testado, especialmente no último ano, pois não foram poucos os casos de redução do valor das multas em processos de apelação judicial. A tendência, segundo Kurowska-Tober, é que os recursos e defesas fiquem cada vez mais robustos e substanciais. Há ainda muitas questões legais em aberto como, por exemplo, se a multa deveria ser aplicada com base no faturamento global total da empresa ou se somente no faturamento local, onde atua a autoridade sancionadora.
Principais violações reportadas às autoridades europeias
O relatório da DLA Piper identificou as principais violações que ensejaram a aplicação de multas pelas autoridades de proteção de dados europeias. A violação na aplicação do princípio da transparência aparece em primeiro lugar, apontando, principalmente, a insuficiência, imprecisão, não completude e complexidade dos avisos de privacidade. A seguir, aparece a violação na demonstração da base legal que fundamenta o processamento de dados pessoais, tendo, em alguns casos, a constatação de que não havia nenhuma base legal para o processamento de dados analisado.
A violação na adoção de medidas de segurança apropriadas aparece em seguida. Destaca-se que a aplicação de sanções por falhas nas medidas de segurança vem se consolidando com as multas aplicadas, sendo possível identificar algumas boas práticas valorizadas pelas autoridades europeias:
- monitoramento de contas de usuário privilegiadas;
- monitoramento do acesso e uso de bancos de dados com dados pessoais;
- implementação de hardening de servidores, para evitar acesso a contas de administradores ou super usuários;
- encriptação de dados pessoais e dados pessoais sensíveis;
- uso de autenticação multifator;
- controle de acesso rígido para aplicações, com base na necessidade e remoção de acesso quando não for mais necessário;
- teste de invasão frequentes;
- não armazenamento de senhas em texto claro em arquivos não criptografados;
- registro de tentativas de login sem sucesso;
- revisão manual de códigos para verificação se há dados pessoais indevidos;
- processamento de dados de cartões de acordo com o padrão PCI DSS (Payment Card Industry Data Security Standard”, ou seja, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão).
Outra violação comum penalizada pelas autoridades se baseia no não atendimento aos princípios de minimização de dados e limitação de armazenamento. Esse cenário, na verdade, foi construído ao longo de muitos anos de coleta indiscriminada de dados pessoais por parte das empresas, em função da falta de uma regulamentação mais rígida, até o advento da GDPR. Tal situação criou um legado altamente complexo para as organizações, que precisam fazer um detalhado mapeamento dos dados sob sua posse, identificando e excluindo dados em excesso, para ficarem em conformidade com a GDPR.
Como a experiência europeia pode ser útil para o Brasil?
O Brasil tem passado por uma onda de grandes vazamentos de dados. Em janeiro, foi divulgado o vazamento de dados pessoais de mais de 223 milhões de brasileiros, relacionados aos números de CPF. Em fevereiro um novo vazamento, desta vez de dados de contas de telefone, incluindo o número de aproximadamente 100 milhões de brasileiros.
Nesse contexto, a recém-criada Autoridade Nacional de Proteção de Dados (ANPD) ainda está em fase embrionária de formação e não tem sequer uma equipe dimensionada ou orçamento para atuar de acordo com o que prevê a Lei Geral de Proteção de Dados. A ANPD está dando os seus primeiros passos, com a recente publicação da agenda regulatória para 2021 e 2022 e o planejamento estratégico para o triênio 2021-2023. Tudo isso, sem a participação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), como previa a LGPD, até mesmo porque o CNPD ainda não existe: está em fase de indicação da lista tríplice pelas entidades da sociedade que terão assento no conselho. Em relação aos vazamentos, a ANPD emitiu comunicados informando que está apurando e que oficiou a Polícia Federal, a empresa PSafe, que descobriu o vazamento, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República para auxiliar na investigação e para adoção de medidas de contenção e mitigação de riscos. Contudo, como afirmou o advogado especialista em direito digital Ronaldo Lemos, vai ser difícil reverter essa situação, pois “dados, uma vez vazados, não podem mais ser ‘desvazados’”. Soma-se a isso o fato de que as sanções previstas na LGPD, de natureza unicamente administrativa, só começam a valer a partir de agosto de 2021, de forma que neste momento não é possível multar os controladores responsáveis pelos megavazamentos, como já vem sendo feito pelos países europeus. Portanto, fica difícil imaginar que tipo de medida de “contenção” pode ser adotada pela ANPD.
Fato é que a ANPD ainda não tem critérios definidos para punir responsáveis por vazamentos, critérios e procedimentos que serão definidos até o fim de 2021, segundo a agenda regulatória publicada. E quanto à falta de estrutura para apuração de violações à LGPD, a ANPD informou que “pretende atuar em colaboração com outros órgãos dotados de competências investigativas e sancionadoras, de modo a promover o adequado endereçamento dos diversos desdobramentos de vazamentos de dados”. Tal afirmação mostra a forte dependência da ANPD, o que pode limitar seu poder de atuação.
Mas a experiência europeia quanto às principais infrações e falhas pode servir como um atalho para a ANPD. Isso é especialmente verdade quanto à definição de que padrões técnicos de segurança mínimos citados no § 1º do art. 46, que necessitam de regulamentação por parte da ANPD. Além das diretrizes definidas no Decreto 8.771/16, que regulamenta o Marco Civil da Internet e de boas práticas já consolidadas no mercado, como a norma ABNT ISO/EIC 27001:20138, a ANPD pode usar como referência as boas práticas valorizadas pelas autoridades europeias, citadas na seção anterior. De forma similar, as organizações brasileiras podem considerar as onze práticas citadas como um ponto de partida na implantação de padrões técnicos mínimos de segurança da informação, até que a ANPD defina tais padrões.
A atuação das autoridades de proteção de dados europeias ainda pode servir de espelho para a ANPD quanto à sua efetividade em casos de violações à GDPR. Como citado anteriormente, não é raro que as multas aplicadas na Europa sejam revisadas para valores mais baixos, muito em função de lacunas ou interpretações dúbias, especialmente quanto à base de cálculo da multa.
Um longo caminho
Por muito tempo, dados pessoais foram coletados de forma excessiva e sem controle. E o número e gravidade de casos de megavazamentos e violações à LGPD tem aumentado, enquanto a ANPD ainda está se estruturando, com grandes restrições de pessoal e orçamentárias. Ainda temos um longo caminho a percorrer para criarmos uma cultura de proteção de dados pessoais. E para que isso se torne uma realidade e para que os direitos dos titulares de dados pessoais sejam respeitados, é importante que tenhamos uma Autoridade forte e atuante. Contudo, o trabalho de dois anos e meio das autoridades europeias podem servir como um catalisador para a ANPD, especialmente quanto à definição de critérios mínimos de segurança a serem aplicados pelos controladores e quanto à efetividade e dosagem das sanções aplicadas, de forma a minimizar eventuais demandas judiciais.
Fabio Correa Xavier
