A Autoridade Nacional de Proteção de Dados (ANPD) recebeu 473 comunicações, que apontavam possíveis falhas de segurança em sistemas de informação e resultaram numa possível violação do sigilo de dados pessoais. Deste total, 186 notificações foram em 2021 e outras 287 em 2022. Esse resultado mostra um crescimento de 54,3% de um ano para outro.

Os números fazem parte do 1º Relatório do Ciclo de Monitoramento, divulgado pela ANPD com base no que está previsto na Lei Geral de Proteção de Dados (LGPD). De acordo com o Artigo 48 dessa legislação, empresas, repartições públicas e entidades são obrigadas a fazer um Comunicado de Incidentes de Segurança (CIS) à autarquia e ao titular das informações a possível ocorrência capaz de acarretar risco ou danos relevantes ao cidadão.

O levantamento mostra ainda a prevalência de incidentes de sequestro de dados nesses casos, também conhecido como ransomware. Quanto às atividades econômicas que efetuaram essas comunicações, destacam-se a administração pública e os setores de saúde, educação, financeiro e tecnologia da informação.

Para o advogado especializado em Direito Digital e Proteção de Dados, Alexander Coelho, o aumento no número de comunicados à ANPD é uma indicação significativa da crescente conscientização sobre a importância da segurança da informação. “Isso pode ser um sinal positivo de que empresas e entidades têm se tornado mais proativas na identificação e comunicação de possíveis violações, em conformidade com a LGPD”, avalia.

Na avaliação do especialista, esse resultado também pode sugerir um aumento real nos incidentes de segurança, o que exige uma análise mais detalhada para entender completamente suas causas. É possível considerá-lo como um indicativo de que os sistemas de informação estão, de fato, com ameaças cibernéticas crescentes.

“A prevalência de incidentes de ransomware é um exemplo claro da vulnerabilidade dos sistemas a ataques cibernéticos. Esses números reforçam a necessidade de investir em medidas robustas de segurança cibernética para mitigar riscos e proteger os dados pessoais”, reitera Coelho.

Adequação à LGPD
A alta na quantidade de CIS também pode ter sido um reflexo de um maior comprometimento das empresas em se adequar à LGPD, destaca o advogado. Com a obrigatoriedade da comunicação dos incidentes de segurança, o aumento dessas notificações pode indicar que as organizações têm levado mais a sério suas responsabilidades legais e os possíveis impactos à privacidade dos cidadãos.

“À medida que a conscientização sobre a LGPD e a segurança cibernética cresce, mais empresas podem descobrir incidentes que anteriormente passariam despercebidos. Além disso, as ameaças cibernéticas estão em constante evolução, o que pode levar a mais tentativas de ataques”, destaca o especialista. Para ele, é provável que o número de CIS continue a aumentar em 2023.

Como evitar as violações
Para evitar ao máximo possíveis violações e minimizar a necessidade de comunicações de incidentes, as empresas, administração pública e outros setores devem adotar medidas proativas. Coelho explica que isso inclui investir em soluções de segurança cibernética robustas, realizar avaliações regulares de vulnerabilidade, implementar treinamentos de conscientização para funcionários, adotar políticas de acesso a dados bem definidas e manter sistemas e software atualizados.

“É essencial adotar uma abordagem em camadas para a segurança cibernética. Isso inclui implementar firewalls robustos, sistemas de detecção e prevenção de intrusões, criptografia de dados, autenticação de dois fatores, backups regulares de dados, monitoramento constante de redes e sistemas, além de educar continuamente os funcionários sobre boas práticas de segurança e a importância do manuseio correto de dados pessoais. Além disso, a atualização regular de softwares é fundamental para corrigir eventuais vulnerabilidades conhecidas”, completa o advogado.

Sobre a fonte:
Alexander Coelho é sócio do escritório Godke Advogados e especializado em Direito Digital e Proteção de Dados. Possui certificações CIPM (Certified Information Privacy Manager) e CDPO (Certificação Data Protection Officer) pela IAPP (International Association of Privacy Professionals). É membro da Comissão de Privacidade e Proteção de Dados da OAB/São Paulo. Já atuou como DPO as a Service em empresas de grande porte com expertise em matérias concernentes às adequações à LGPD (Lei Geral de Proteção de Dados), Compliance Digital, Privacidade, Investigação à Fraudes Eletrônicas e Cibersegurança.