Contextualização:
Em 6 de setembro de 2023, a Justiça Federal da 3ª Região (1ª Vara Cível Federal de São Paulo) emitiu uma sentença, nos autos da Ação Civil Pública n. 5028572-20.2022.4.03.6100, condenando:
1. Instituição financeira pública, que atua como agente pagador de diversos programas federais;
2. Empresa pública especializada em soluções de tecnologia da informação e comunicação.
Observação: a sentença ainda permite recurso, servindo, por enquanto, como benchmarking sobre as questões debatidas e interpretadas pelo Poder Judiciário sobre o tema de Proteção de Dados e Privacidade.
O Caso: O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação - SIGILO ajuizou a ação civil pública, argumentando que, em 24 de outubro de 2022, um significativo vazamento de dados ocorreu, afetando dados pessoais de mais de 4 milhões de beneficiários do programa Auxílio Brasil.
Detalhamento do Vazamento: Teria ocorrido través de correspondentes bancários, que tiveram acesso aos dados pessoais dos beneficiários e compartilharam de forma indevida. Estima-se que 20% dos beneficiários do programa Auxílio Brasil tiveram seus dados expostos, sendo utilizados para a venda de produtos financeiros, especialmente o crédito consignado. Dentre os dados vazados, constavam: endereço, número de celular, data de nascimento, valor do benefício, e números do NIS e do CadSUS.
Decisão Judicial: O juiz considerou o pedido parcialmente procedente. Os réus foram reconhecidos como responsáveis pelo vazamento, sendo várias obrigações estipuladas:
Para todos os corréus:
1. Fornecimento de Registros: São obrigados a fornecer registros de conexão ou de acesso a aplicações de internet que abrangem o período de janeiro de 2022 até julho de 2023, específicos ao incidente de vazamento.
2. Desenvolvimento de Mecanismos de Segurança: A fim de garantir que tais incidentes não se repitam, os corréus devem criar ou reforçar seus sistemas de segurança de dados.
3. Comunicação aos Titulares dos Dados: É mandatório informar todos os titulares dos dados vazados sobre o incidente, detalhando a natureza do vazamento e as medidas adotadas em resposta.
4. Elaboração de Relatórios: Os controladores responsáveis pela proteção de dados no âmbito das três instituições corrés elaborem relatórios independentes de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados (artigo 38 da LGPD).
5. Revisão do Sistema de Segurança: Uma revisão abrangente do sistema atual para identificar e corrigir quaisquer deficiências.
6. Indenizações: Os corréus foram instruídos a pagar indenizações individuais no valor de R$ 15.000,00 a cada titular afetado pelo vazamento.
7. Indenização Coletiva: Um montante de R$ 40.000.000,00 deve ser pago ao Fundo de Defesa de Direitos Difusos.
8. Registro da Ação: É obrigatório o registro da ação no Cadastro Nacional de Ações Coletivas do CNJ.
Para a instituição financeira:
- Acesso aos Registros: A instituição deve disponibilizar, em até 10 dias, o acesso aos registros de dados para os correntistas e titulares dos dados que foram vazados.
Lições Aprendidas:
- Entendimento Organizacional: É fundamental compreender a missão e as ações das entidades envolvidas.
- Mapeamento de Processos: É crucial conhecer os fluxos de dados, seu armazenamento e quem pode acessá-los.
- Identificação de Riscos: Estes riscos abrangem terceiros, incluindo correspondentes bancários.
- Treinamentos: Realizar treinamentos constantes, não só para equipes internas, mas também para parceiros terceirizados. É crucial que os colaboradores tenham acesso a dados pessoais no cotidiano organizacional. Eles podem necessitar desses dados para:
- Identificação e Comunicação: Engajar diretamente com cidadãos, fornecedores, funcionários, entre outros.
- Gestão de Recursos Humanos: Administrar contratações, pagamentos, benefícios, avaliações, etc.
- Prestação de Serviços ao Cidadão: Como a emissão de documentos e registros civis.
- Atendimento ao Público: Atender reclamações, dúvidas e sugestões dos cidadãos.
Treinamento e Conscientização: Pilares e temas para uma organização alinhada à LGPD
Estudos do Fórum Econômico Mundial indicam que 95% dos problemas de cibersegurança resultam de falhas dos usuários, e não dos sistemas.
Conforme o artigo 50 da LGPD, é necessário que as organizações promovam ações educativas para o estabelecimento de Boas Práticas e Governança (Programa de Governança em Privacidade).
Ainda, a resolução CMN 4.935/21 regula a contratação de correspondentes que prestam serviços a instituições financeiras autorizadas pelo Banco Central do Brasil. Estes correspondentes podem prestar serviços pessoalmente ou digitalmente.
Importante ressaltar que, conforme a LGPD (lei 13.709/18), os controladores (contratantes) também podem ser responsabilizados por atos dos operadores (contratados) no que tange a medidas de segurança da informação e governança em privacidade.
As atividades dos correspondentes frequentemente envolvem o acesso e armazenamento de dados pessoais, e estão sujeitas à LGPD. Uma novidade da Resolução é a exigência de certificação dos correspondentes, garantindo que possuam conhecimento técnico adequado.
O mercado financeiro brasileiro tem se adaptado rapidamente, incorporando novas tecnologias e cumprindo requisitos legislativos. As instituições financeiras e demais organizações que se adaptam à LGPD se beneficiam ao ganhar maior credibilidade, proteger sua reputação, ganhar vantagem competitiva e fortalecer parcerias estratégicas.
Com base em nossa expertise, enfatizamos a importância de uma abordagem estratégica e personalizada no desenvolvimento de Programas de Treinamento em Proteção de Dados e Privacidade. As seguintes diretrizes são cruciais:
- Adaptação à Organização: O programa deve ser modelado de acordo com o segmento de atuação da empresa, sua Missão, Visão e Valores.
- Avaliação de Riscos: É vital conduzir uma avaliação minuciosa dos riscos associados à Proteção de Dados e Privacidade, a fim de estabelecer estratégias adequadas.
- Definição Clara do Escopo: Determine o escopo completo do programa PDP&P, garantindo que abranja todas as áreas pertinentes.
- Interesse em Capacitação Avançada: Avalie o interesse da organização em cursos avançados, priorizando certificações para Data Protection Officer – DPO (Encarregado de Proteção de Dados) e equipes dedicadas a PD&P.
- Personalização por Departamento: Desenvolva boas práticas ajustadas para cada departamento ou área da organização, garantindo a eficácia da implementação.
Exemplos de Treinamentos para Conscientização e Mudança Cultural:
- Workshop de Governança em Privacidade: Este curso proporciona diretrizes específicas para a inserção do DPO na estrutura da organização.
- Workshop de Sensibilização para Colaboradores: Programa de conscientização direcionado a mudar a cultura organizacional em relação à proteção de dados.
- Workshop para Alta Gestão: Customizado conforme o segmento de atuação, utilizando benchmark jurisprudencial (tanto judicial quanto administrativo) para apoiar decisões estratégicas.
Capacitações complementares – Escola Portal do Treinamento:
Suporte em cursos in company, tanto o setor público quanto o privado, com capacitações variadas, atendendo a diferentes necessidades e níveis profissionais. Nossos workshops e cursos incluem:
- Mapeamento de Processos: Habilita os colaboradores a compreender e mapear processos de negócios e TI, em alinhamento com a Governança.
- Management 3.0: Proporciona habilidades em gestão organizacional, preparando o indivíduo para enfrentar desafios contemporâneos com liderança eficaz.
- COBIT 5® Foundation: Equipa os colaboradores com práticas internacionalmente reconhecidas para governança e gestão de IT, preparando-os para a certificação COBIT 5® Foundation.
- Scrum Master: Capacita os profissionais a entender e aplicar o Scrum, possibilitando ainda que busquem certificação SCRUM.
- Plano de Continuidade de Negócios (Baseado na ISO 22301): Prepara os colaboradores para assegurar a continuidade dos negócios em face de adversidades.
- Formação Data Protection Officer - DPO: Uma trilha educacional vital para os responsáveis pela proteção de dados, enfatizando a conformidade e redução de riscos relacionados à privacidade, com cursos de segurança da informação, teórico e prático de proteção de dados e privacidade.
Por fim, fica evidente a imperatividade de um compromisso sólido com a proteção de dados por todas as entidades, públicas ou privadas. A era digital traz benefícios, mas também responsabilidades e riscos que não podem ser ignorados.
-----------------------------------
BERGAMO, Mônica. Justiça determina que Caixa e União indenizem 4 milhões de beneficiários do Auxílio Brasil por vazamento. Folha de São Paulo, São Paulo, 13 set. 2023. Coluna Mônica Bergamo. Disponível em: https://www1.folha.uol.com.br/colunas/monicabergamo/2023/09/justica-determina-que-caixa-e-uniao-indenizem-4-mi-de-beneficiarios-do-auxilio-brasil-por-vazamento.shtml. Acesso em: 13 set. 2023.
BRASIL. Justiça Federal da 3ª Região - 1º grau. Ação Civil Pública. Processo n. 5028572-20.2022.4.03.6100. Disponível em: https://static.poder360.com.br/2023/09/decisaojustica-13set2023.pdf. Acesso em: 13 set. 2023.
INFORCHANNEL. Falha humana é a maior a causa dos problemas de cibersegurança. Disponível em: https://inforchannel.com.br/2022/10/28/falha-humana-e-a-maior-a-causa-dos-problemas-de-ciberseguranca/
LIMA, Adrianne. Alcassa, Flávia. Em vigor novas regras para contratação de Correspondentes Bancários, os quais devem ser certificados sobre CDC e LGPD - Resolução CMN 4.935/21. Disponível em: https://www.migalhas.com.br/depeso/359219/novas-regras-em-contratacao-de-correspondentes-bancarios-cdc-e-lgpd.
LIMA, Adrianne. Referência federal de ações para cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD. Disponível em: https://www.adriannelima.com.br/lgpd/referencia-federal-de-acoes-para-cumprimento-da-lei-geral-de-protecao-de-dados-pessoais-lgpd/
MACEDO, Fausto. Juiz condena Caixa à multa bilionária por vazamento de dados de beneficiários do Auxílio Brasil. Estadão, [S.l.], 13 set. 2023. Disponível em: https://www.estadao.com.br/politica/blog-do-fausto-macedo/juiz-condena-caixa-a-multa-bilionaria-por-vazamento-de-dados-de-beneficiarios-do-auxilio-brasil/. Acesso em: 13 set. 2023.
PORTAL DO TREINAMENTO. Formação e cursos in company. Disponível em: www.portaldotreinamento.com.br
THE BRAZILIAN REPORT. Brazil's government convicted for data leak exposed. Disponível em: https://brazilian.report/liveblog/politics-insider/2023/09/11/government-convicted-data-leak/. Acesso em: 13 set. 2023.