25/05/2021 - Sanções da LGPD começam a valer em menos de 70 dias: o relógio está correndo

25/05/2021 – Sanções da LGPD começam a valer em menos de 70 dias: o relógio está correndo

Trajano Neto e Paciornik Advogados
May 25, 2021

Por meio de uma operação de engenharia social, criminosos persuadiram a equipe de um hotel dos Emirados Árabes Unidos a revelar os detalhes de login de suas contas em um sistema Booking.com. Com esta estratégia, em 2018, tiveram acesso a dados de mais de 4.000 pessoas, assim como informações de cartão de crédito de quase 300 pessoas. Além disso, em 97 casos houve acesso até ao código de segurança do Cartão.

Apesar do vazamento, a empresa demorou mais de 3 semanas para comunicar à Autoridade Holandesa de Proteção de Dados (DPA) – Autoriteit Persoonsgegevens[1], que recentemente impôs uma multa de 475 mil euros ao portal Booking.com.

Transportando a situação para nossa realidade, no Brasil, a LGPD contempla duras penalidades por violação de suas determinações. Entre as sanções estabelecidas na Lei Geral de Proteção de Dados Pessoais estão prevista a suspensão do acesso a banco de dados da empresa, a fixação multa diária, a divulgação obrigatória ao mercado de falhas de segurança, e a eliminação forçada de bancos de dados.

Em virtude da complexidade das providências necessárias para adequação, a lei publicada em 2018, somente entrou em vigor em 2020, e suas penalidades somente começam a valer a partir de 1º agosto de 2021.

Muito além de uma mera revisão de políticas de privacidade, ou ajustes pontuais no site, a LGPD transforma a maneira de pensar os fluxos de dados nas empresas de todos os setores, em associações e até mesmo nos órgãos do governo. A mudança é ampla, e demanda um planejamento estruturado para implementação de projetos de conformidade com a LGPD. A conformidade com a LGPD exige, entre outras medidas, de mapeamentos de fluxos de dados pessoais, identificação de riscos e vulnerabilidades, adequação de contratos, adoção de estratégia de minimização de dados e treinamento de equipes. Deve ser definida com clareza, divulgada e conhecida a política de incidentes de segurança, inclusive nas hipóteses de vazamento de dados, como a situação que ocorreu com a Booking.com.

E o se caso apresentado acontecesse no Brasil? Na Europa, há 72 horas para comunicar a autoridade de proteção de dados sobre os incidentes de segurança. De acordo com a LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares em “prazo razoável”. Recentemente, a ANPD indicou que deve ser atendido o prazo de 48h. O tempo está correndo.

Gabriel Schulman é sócio e DPO de Trajano Neto e Paciornik Advogados.

[1] https://autoriteitpersoonsgegevens.nl/nl

Compartilhe:

Contatos

Fale Conosco

O TNP Advocacia está aqui para te auxiliar em suas necessidades legais, com foco em ética, transparência e resultados. Entre em contato conosco e agende uma consulta com um de nossos experientes advogados.

Eurípedes Garcez do Nascimento, 549
Ahú - Curitiba . PR

Matriz Curitiba

contato@tnp.adv.br

E-mail

+55 41 3075-5020 . 0800 575 0011

Telefones

Unidades:

Estratégia

Com atuação nas áreas do direito securitário, tributário, internacional, desportivo, recuperação de empresas, do agronegócio, petróleo e gás, civil e contratos, societário, digital e startups, imobiliário e saúde, bem como na gestão de contencioso de escala, o escritório oferece soluções e assistência legal dotadas de excelência, criatividade e segurança, nos âmbitos preventivo, consultivo e contencioso.