Aplicação da sanção é derrota do processo negocial, diz representante da ANPD

Alex de Souza, Agência Indusnet Fiesp

Quando há violação comprovada da Lei Geral de Proteção de Dados (LGPD), é papel da Autoridade Nacional de Proteção de Dados (ANPD) definir a sanção mais apropriada para o caso, aplicando a chamada dosimetria. Este foi o principal tema de workshop organizado pela Fiesp na manhã de sexta-feira (24/3) e pode ser visto pelo canal da Fiesp no YouTube.

O diretor do Departamento de Defesa e Segurança (Deseg) da Fiesp, que coordena o Grupo de Trabalho de Segurança e Defesa Cibernética no departamento, Rony Vainzof, dirigiu os trabalhos. Ele lembrou que a LGPD, sancionada há mais de 4 anos e meio, “é um mapa a ser seguido para uso responsável de dados que trouxe segurança jurídica para as empresas e não deve ser demonizada, nem temida, porque segue parâmetros internacionais”.

Criada em 2018 e sancionada em 2019, a ANPD tem como objetivo fiscalizar e aplicar a LGPD. Mas o que as empresas podem esperar do órgão federal? O diretor-presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, explica que a autoridade não foi constituída para travar dados, mas para fazer cumprir a lei. “Não existe empresa que não trate dados pessoais, por isso é importante haver política de governança eficiente”, disse Ortunho.

A abordagem responsiva e o diálogo constante foram apontados pela diretora da ANPD, Miriam Wimmer, como algumas das principais características do órgão. “Como reguladora, a ANPD busca o cumprimento da lei, não a aplicação de multas. E é possível cumprir a legislação sem fazer uso unicamente de punições. Precisamos ser seletivos para sermos efetivos”, pontuou Wimmer, que entende ser necessário analisar caso a caso e atuar na orientação e prevenção, aplicando sanções quando for estritamente necessário.

Quando a sanção se torna o principal instrumento para o cumprimento da lei, a autoridade falha no intuito de resolver o problema. Esse é o entendimento do coordenador-geral de fiscalização da ANPD, Fabricio Guimarães Madruga Lopes. “Nosso papel é levar de volta à conformidade. E isso é mais eficaz quando debatemos problemas. Quando partimos diretamente para a sanção imputamos culpa. E ninguém gosta de assumir culpa. É melhor discutir problemas”, afirmou Madruga Lopes. “Aplicar sanção é a derrota do processo negocial. E as empresas estão conscientes sobre isso”.

O incentivo da autoridade para que as empresas tenham um programa de governança e diálogo constante é “essencial para se ter impacto positivo e relevante”, na avaliação da advogada Annette Pereira, do Itaú Unibanco, que é membro do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. “Se existem boas práticas em programas de governança, a multa pode ser mitigada. A lei quer incentivar as boas práticas, e isso pode ser levado em consideração para atenuar ou agravar as inconformidades”.

Especialista em Gestão de Risco e Compliance, o executivo Luciano De Dominicis, da Gartner, concorda que ter um modelo de governança ajuda na mitigação dos riscos e que os executivos têm conferido atenção especial ao tema. “Dos ataques cibernéticos, 90% podem ser evitados apenas com boa governança”, afirmou, lembrando que 86% das violações têm motivação financeira.

Os incidentes cibernéticos são custosos para as empresas e um negócio lucrativo para os criminosos. O diretor Vainzof afirmou que se cibercrime fosse um estado, ele seria a terceira maior economia mundial, atrás apenas dos EUA e da China, com PIB de US$ 10,5 trilhões.

Para acompanhar o workshop Dosimetria e aplicação de sanções da LGPD, clique aqui.

Workshop sobre dosimetria e aplicação de sanções da LGPD reuniu autoridades e especialistas de empresas na Fiesp. Foto: Ayrton Vignola/Fiesp