Recentemente temos visto tentativas de ataques cibernéticos ao site do STJ e nas eleições no TSE. Mas como a nova Lei Geral de Proteção de Dados poderia atuar em relação a isso?
O vazamento de dados dos sistemas de órgãos públicos está se tornando algo frequente e precisa de atenção especial pela autoridades competentes.
Segundo o CTIRGov, no ano de 2019 ocorreram 9.431 incidentes e em 2020, 5.128 incidentes relacionados à segurança dos sistemas de computação ou das redes de computadores em Órgãos ou entidades dos Poderes da União, Estados e Municípios. Sendo que em 2020 já ocorreram 2096 casos de vulnerabilidade do sistema, quase o dobro em relação a 2019.
Nos casos de vazamentos de dados por entidades ou órgãos públicos a LGPD, regulamenta em seu artigo 52, que estas entidades não estão sujeitas as multas, e com a nova redação dada pela Lei 13853/19, foram incluídos os artigos em relação a suspensão parcial do funcionamento ate proibição das atividades relacionadas ao tratamento de dados.
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
Dessa forma, mesmo que não se aplique ao caso a sanção em forma de multa, uma atuação eficaz que se espera da Autoridade Nacional de Proteção de Dados será de grande importância tanto na prevenção, quanto no controle e gerenciamento das consequências nos casos de vazamentos de dados.