Em matéria de segurança da informação, há a máxima de que o maior risco em uma organização reside em seus elementos humanos. Com efeito, a maioria dos ataques cibernéticos ocorre pela exploração maliciosa de fragilidades comportamentais de seres humanos e uma boa parcela decorre pura e simplesmente de erros humanos [1].

Nesse sentido, a conscientização em matéria de privacidade e proteção de dados e treinamentos de LGPD servem para prevenir e mitigar riscos ligados a incidentes de seguranças.

Evidente que não se espera que os treinamentos solucionem todas as questões, mas que provoquem nos colaboradores, reflexões que desenvolvam maior grau de sensibilidade destes com relação ao assunto, para que saibam identificar situações que merecem atenção e cuidado [1].

Um treinamento e uma cultura empresarial de proteção de dados impacta nas escolhas de parceiros de negócios adequados, negociações de ações, fusões e aquisições, bem como em ações baseadas nos princípios da Lei. A partir do treinamento, também baseado em princípios da Lei, a empresa pode adotar medidas de prestação de contas que prestam a defesa processual e atenuante de responsabilidade.

Ainda que sejam empreendidos todos os esforços para privacidade e proteção de dados, sempre haverá o risco de incidentes de segurança e diante de eventual incidente a conscientização e as práticas decorrentes da cultura serão consideradas e poderão afastar ou ao menos minimizar responsabilidades.

Importante lembrar que, a ANPD publicou resolução aprovando o regulamento de dosimetria e aplicação de sanções administrativas, norma que é requisito para aplicação de multas e estava prevista na agenda regulatória de 2023. Dessa forma, a resolução, que já está em vigor, estabelece “parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa” [2].

Conforme dispõe o art. 13, II, da Resolução CD/ANPD nº 4/2023, adotar políticas de boas práticas e mecanismos e procedimentos internos capazes de minimizar danos aos titulares de dados, são medidas de adequação capazes de atenuar em 20% o valor da multa simples que pode ser aplicada em atos fiscalizatórios pela ANPD. Importa lembrar, que o treinamento e os mecanismos de conscientização podem ser entendidos como medidas de prevenção e adequação ao que impõe a Lei Geral de Proteção de Dados

Para ilustrar, considerando o valor máximo que pode ser aplicado como multa (50 milhões de reais), as organizações que realizaram o Projeto de Adequação à LGPD, de antemão, teriam um desconto de 10 milhões de reais (20%), uma vez que são capazes de comprovar a adoção de boas práticas e medidas de privacidade e proteção de dados implementadas pelo Projeto de Adequação.

Ademais, a resolução prevê outras formas de reduzir eventuais multas, principalmente ligadas à celeridade da organização para solucionar infrações cometidas. As cobranças podem ser reduzidas no percentual entre 5% e 75%, a depender da agilidade da empresa em interromper a infração identificada pela ANPD.

Nota-se que o Projeto de Adequação e o devido acompanhamento jurídico especializado em privacidade e proteção de dados, se tornam ainda mais essenciais economicamente e para a reputação das empresas.

Verifica-se, ainda, que a própria Lei Geral de Proteção de Dados traz a importância da conscientização e cultura de proteção de dados e privacidade, uma vez que no artigo 52 da LGPD [3] dispõe que as sanções serão aplicadas considerados os seguintes parâmetros e critérios a adoção reiterada, quais sejam: demonstração de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados e a adoção de política de boas práticas e governança.

Por fim, é importante que as empresas vejam o treinamento e a conscientização como matéria de defesa processual e atenuante de responsabilidade.

[1] Compliance Digital e LGPD. São Paulo: Thomson Reuters, 2021.

[2] BRASIL. Resolução CD/ANPD nº 4/2023.

[3] BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 03 mar 2023.

A equipe do Goulart Colepicolo Advogados tem advogados especializados em ‘Direito Digital, Tecnologia e Proteção de Dados’ e está à disposição para esclarecer eventuais dúvidas.

Nota com caráter informativo.