Como a LGPD pode atuar nos vazamento de dados dos órgãos públicos

08/10/2019

Sistemas do Governo do Distrito Federal e órgãos públicos foram invadidos e dados de servidores públicos vêm sendo utilizados para o cometimento de fraudes.

Segundo as investigações, os suspeitos presos pela Polícia Civil do Distrito Federal, invadiam os bancos de dados dos órgãos públicos e com tais informações conseguiam realizar a abertura de contas bancárias, transferir parte dos salários e realizar diversas compras, inclusive o financiamento de automóveis[1].

Casos como esse, em que há o vazamento de dados pessoais de sistemas refletem diretamente na urgência do vigor da Lei Geral de Proteção de Dados.

O vazamento de dados dos sistemas de órgãos públicos não é o primeiro noticiado esse ano e nem será o último, isso vêm se tornando cada vez mais recorrente e precisa de atenção especial.

Segundo o CTIRGov[2], no ano de 2019 ocorreram 9.431 incidentes relacionados à segurança dos sistemas de computação ou das redes de computadores em Órgãos ou entidades dos Poderes da União, Estados e Municípios, sendo que os incidentes relacionados a vazamento de dados estão no topo da lista, com 2.231 casos.

Nessa esfera, a Lei Geral de Proteção de Dados baseada especialmente na General Data Protection Regulation (GDPR) - regulamento europeu sobre privacidade e proteção de dados, aplicável a toda a União Européia e Espaço Econômico Europeu – promete mitigar os casos de vazamentos com a aplicação de penalidades aos agentes de tratamento de dados.

O vazamento de dados é um tema que tem chamado cada vez mais atenção, não apenas em âmbito nacional, mas especialmente em esfera internacional, e esse foi um dos maiores impulsos para a criação de lei específica sobre o tema.

A pesquisa anual da IBM em parceria com o Instituto Ponemon,“Cost of a Data Breach”[3] indicou que o Brasil é o quarto país no ranking de registros de dados vazados, com 26.523 registros, atrás apenas de Oriente Médio (38.800), Índia (35.636) e EUA (32.434).

De acordo com o levantamento o custo médio de um vazamento de dados no Brasil é de US$ 1,35 milhões, o que equivale a aproximadamente R$ 5 milhões, números bem abaixo em relação aos outros países.

Com a entrada em vigor da Lei Geral de Proteção de Dados em agosto de 2020, há uma expectativa de que tais números subam, tendo em vista que a lei traz a aplicação de sanções que podem chegar a R$ 50 milhões.

No entanto, os casos que envolvem entidades e órgãos públicos não estão sujeitos às sanções de multa, apenas à advertência, publicização da infração e eliminação dos dados, nos termos do art. 52, § 3º:

"Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

§ 3º O disposto nos incisos I, IV, V, VI, VII, VIII e IX do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público Federal), na Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa), e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .

Como bem ressaltado no § 3º, a não aplicação de multa pela LGPD não significa que os servidores públicos responsáveis pelo vazamento de dados, seja por culpa ou dolo, não possam ser penalizados nas esferas da improbidade administrativa e criminal.

A Lei Geral de Proteção de dados trata de forma específica dos órgãos públicos e dispõe que, quando houver infração em decorrência do tratamento de dados pessoais, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação e ainda que, a autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais (art. 31 e 32).

Dessa forma, mesmo que não se aplique ao caso a sanção em forma de multa, é provável que vazamentos como o ocorrido sejam evitados com as exigências contidas na Lei Geral de Proteção de Dados, em especial pela atuação eficaz que se espera da Autoridade Nacional de Proteção de Dados.

Por fim, considerando a possibilidade de responsabilização do servidor público responsável pelo vazamento de dados em outras esferas, é importante que seja feito um amplo trabalho de capacitação e divulgação da política nacional de proteção de dados.

[1] Fonte: https://g1.globo.com/df/distrito-federal/noticia/2019/09/24/operacao-investiga-esquema-que-fraudava-dados-em-tribunais-federais-e-do-df.ghtml

[2] https://www.ctir.gov.br/ O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) faz parte do Departamento de Segurança de Informação (DSI), do Gabinete de Segurança Institucional da Presidência da República (GSI/PR).

[3] https://www1.folha.uol.com.br/tec/2019/07/no-brasil-empresa-que-falha-ao-proteger-dados-tem-perdas-menores.shtml

Fonte: Por: Gabriela Rollemberg e Janaina Rolemberg Fraga / Consultor Jurídico