A Autoridade Nacional de Proteção de Dados (ANPD) tem feito um trabalho muito importante ao cuidar, vigiar e checar se a Lei Geral de Proteção de Dados (LGPD) vem sendo seguida no Brasil.
Suas tarefas estão em quatro frentes: fiscalizar, aconselhar, evitar riscos e notificar ocorrências. Vamos ver como a ANPD age nesses pontos, falando das dificuldades e do que muda para os agentes de tratamentos e titulares de dados.
Responsabilidades ANPD
Entre suas principais responsabilidades, a ANPD se dedica ao monitoramento e à fiscalização das atividades relacionadas ao tratamento de dados pessoais, assegurando a adesão à LGPD. Esse processo atua como um “sensor de vigilância”, que coleta informações para avaliar o ambiente regulatório. O monitoramento possibilita a identificação de anomalias, uma análise rápida dessas ocorrências e a seleção das que necessitam de uma investigação mais detalhada.
A ANPD utiliza dois instrumentos nessa função de monitoramento que são o relatório de ciclo de monitoramento e o mapa de temas prioritários. Essas ferramentas são fundamentais para estruturar as atividades de supervisão, administrar riscos regulatórios e evitar irregularidades.
Registro de requerimentos
Desde 2021, a ANPD tem registrado os requerimentos recebidos, que incluem petições de titulares de dados e denúncias contra agentes de tratamento que desrespeitam a LGPD. A evolução dos requerimentos recebidos pela ANPD é ilustrada pelos seguintes números:
Fonte: https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fisalizamos
O crescimento das petições e denúncias reflete a crescente conscientização da população sobre seus direitos e a necessidade de reforço na capacidade operacional da ANPD para lidar com essa demanda.
A ocorrência de incidentes de segurança é um dos principais desafios na proteção de dados pessoais. Qualquer evento adverso que comprometa a confidencialidade, integridade, disponibilidade ou autenticidade dos dados deve ser comunicado à ANPD e aos titulares de dados. O objetivo desta comunicação é permitir que a fiscalização acompanhe as medidas adotadas pelos responsáveis para mitigar os impactos dos incidentes.
Incidentes de segurança
Os dados coletados pela ANPD sobre incidentes de segurança demonstram uma crescente sofisticação dos ataques cibernéticos:
| Tipo de Incidente (2023) | Quantidade de Comunicados 2023 | Quantidade de Comunicados 2023 |
| Sequestro de Dados (ransomware) sem transferência de informações | 69 | 51 |
| Sequestro de dados (ransomware) com transferência e/ou publicação de informações | 65 | 30 |
| Exploração de vulnerabilidade em sistemas de informação |
54 | 38 |
| Acesso não autorizado a sistemas de informação |
35 | 31 |
| Divulgação indevida de dados pessoais | 25 | 27 |
| Roubo de credenciais / Engenharia Social | 24 | 56 |
| Envio de dados a destinatário incorreto | 23 | 18 |
| Outro tipo de incidente não cibernético | 13 | 12 |
| Perda/roubo de documentos ou dispositivos eletrônicos |
11 | 7 |
| Publicação não intencional de dados pessoais | 10 | 12 |
| Outro tipo de incidente cibernético | 8 | 31 |
| Falha em sistema de informação (software) |
8 | 6 |
| Alteração/exclusão não autorizada de dados pessoais | 2 | 0 |
| Vírus de Computador / Malware |
2 | 0 |
| Descarte incorreto de documentos ou dispositivos eletrônicos | 1 | 2 |
| Violação de credencial por força bruta | 1 | 7 |
| Negação de Serviço (DoS) | 1 | 2 |
| Falha em equipamento (hardware) | 0 | 1 |
| Vírus de computador/Malware | 0 | 1 |
Fonte: https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fisalizamos
Os incidentes mais frequentes registrados em 2023 e 2024 revelam um aumento notável em ataques de engenharia social e ransomware, tanto com quanto sem compromissos de dados. No ano de 2024, foram documentados 56 casos de roubo de credenciais por meio de engenharia social, enquanto os ataques de ransomware que não resultaram em vazamento de dados somaram 51 ocorrências.
Fiscalização ANPD
Esses dados destacam a urgência de implementar políticas de segurança da informação mais robustas, que incluam treinamento contínuo para a população e, por extensão, para os colaboradores. É essencial adotar medidas eficazes de proteção contra phishing e implementar ferramentas de monitoramento em tempo real.
Adicionalmente, a ANPD desempenha um papel punitivo ao impor sanções administrativas a organizações que não cumprirem a LGPD. A fiscalização pode resultar em advertências, multas e até a suspensão das operações de tratamento de dados até que a conformidade seja restabelecida.
A Resolução CD/ANPD nº 1, de 28 de outubro de 2021, e sua retificação pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, estabelecem os procedimentos para fiscalização e sanções. Contudo, ainda existem desafios na efetividade das penalidades aplicadas, especialmente no que tange à capacidade de execução das multas e ao tempo de tramitação dos processos.
Impactos do vazamento de dados
A ausência de um histórico consolidado de punições pode comprometer a credibilidade da ANPD como órgão fiscalizador e inibidor de práticas abusivas. Para que a repressão seja eficaz, é fundamental que os processos administrativos sancionadores sejam mais ágeis e transparentes. Quando ocorre vazamento de dados em uma empresa, as consequências podem ser bem graves e incluem perda de credibilidade junto aos clientes, usuários e investidores; perda de valor de mercado; e processos judiciais que podem ter como consequência o pagamento de multas.
Empresas brasileiras chegam a perder, em média, R$ 6,75 milhões por violação de dados, segundo o relatório Cost of a Data Breach 2024, elaborado e divulgado pela IBM. Porém, na prática, esse impacto é ainda maior, pois as brechas na proteção de informações sensíveis geram prejuízos com outras consequências, além das legais, como evasão de clientes que migram para concorrentes com políticas de segurança mais robustas, interrupção das operações, investimentos emergenciais com relações públicas e cibersegurança para mitigar a crise e aumentam ainda mais as demandas em equipes de cibersegurança.
Segurança dos dados
A LGPD representa um passo importante na salvaguarda dos dados no Brasil, mas sua eficácia depende da atuação constante da ANPD e da responsabilidade dos operadores de tratamento de dados. Para alcançarmos um amadurecimento regulatório, é fundamental manter um compromisso com ações de vigilância, prevenção e controle, garantindo assim um ambiente digital mais seguro e transparente para todos os cidadãos brasileiros.
Entre as principais necessidades para o futuro estão:
-
- Expansão da capacidade operacional da ANPD: Com o aumento das denúncias e incidentes reportados, é crucial que a entidade tenha mais recursos para atuar com eficiência.
-
- Maior clareza sobre sanções e penalizações: A transparência na aplicação de multas e medidas coercitivas fortalece a confiança na regulação.
-
- Fomento à cultura de proteção de dados: A educação sobre LGPD deve ser incorporada tanto nas empresas quanto na sociedade civil.
-
- Integração com órgãos internacionais: Parcerias com entidades globais podem ampliar o escopo da fiscalização e a cooperação em investigações transnacionais.
A LGPD representa um grande avanço na proteção de dados no Brasil, mas sua eficácia depende da atuação constante da ANPD e da responsabilidade das empresas e órgãos públicos. O crescimento das denúncias e incidentes evidencia a necessidade de reforço nas estruturas de fiscalização e punição.
Para garantir um ambiente digital mais seguro e confiável, é essencial que a ANPD fortaleça sua capacidade operacional, atue com mais transparência na aplicação das sanções e promova uma cultura de proteção de dados no país. Dessa forma, a regulação se tornará mais eficaz e contribuirá para um cenário de maior segurança jurídica e digital para todos os cidadãos brasileiros.
Regulamentação e Fiscalização
A LGPD representa um grande avanço na proteção de dados no Brasil, mas sua eficácia depende da atuação constante da ANPD e da responsabilidade das empresas e órgãos públicos. O crescimento das denúncias e incidentes evidencia a necessidade de reforço nas estruturas de fiscalização e punição.
Para garantir um ambiente digital mais seguro e confiável, é essencial que a ANPD fortaleça sua capacidade operacional, atue com mais transparência na aplicação das sanções e promova uma cultura de proteção de dados no país. Dessa forma, a regulação se tornará mais eficaz e contribuirá para um cenário de maior segurança jurídica e digital para todos os cidadãos brasileiros.
Conformidade com a legislação
A CLA Brasil pode desempenhar um papel estratégico nesse cenário, auxiliando seus clientes na adequação à LGPD por meio de uma abordagem estruturada, monitoramento contínuo dos processos internos e implementação de políticas e processos robustos de proteção de dados. Além disso, atuamos como DPO as a Service permitindo que as organizações possam contar com um especialista dedicado à governança de dados, garantindo conformidade com a legislação, mitigação de riscos e resposta rápida a incidentes de segurança. Dessa forma, a CLA Brasil se posiciona como uma parceira essencial para empresas que buscam fortalecer sua segurança digital e manter a transparência na gestão de dados pessoais. Entre em contato com nossos especialistas e saiba mais.
Autores: Paulo Baldin, Claudio Castro e Henrique Moura
