Em audiência no Senado, procurador da República ressaltou que legislação brasileira já prevê sanções no caso de vazamento de dados
O Ministério Público Federal (MPF) participou, nesta quarta-feira (15), de audiência pública no Senado para debater o aumento dos crimes virtuais cometidos na internet, que recentemente resultaram no vazamento de dados pessoais de milhões de brasileiros. Nesse contexto, o procurador da República Carlos Bruno Ferreira da Silva, que é coordenador substituto do Grupo de Trabalho de Tecnologia da Informação e Comunicação da Câmara de Consumidor e Ordem Econômica do MPF (3CCR), alertou que a legislação brasileira já prevê uma série de obrigações tanto para órgãos públicos quanto para empresas privadas que controlam dados pessoais. Tais entidades são obrigadas a adotar medidas para garantir a proteção dessas informações, inclusive com aplicação de sanções, em caso de descumprimento.
Segundo ele, a Lei Geral de Proteção de Dados (Lei 13.709/2018) e o Código Penal estabelecem uma série de sanções nas esferas administrativa, cível e criminal para responsabilizar não apenas os que promoveram o ataque ou vazamento de dados pessoais, mas também aqueles que controlam os dados vazados. "A obrigação daqueles que controlam bancos de dados de terceiros não é somente de verificar quem roubou os dados, mas também de seguir medidas de segurança, prevendo parâmetros rigorosos de privacidade em seus sistemas”, ressaltou o procurador. Ele lembrou que os dados devem ser recolhidos de forma mínima e serem mantidos com segurança. "O descumprimento dessas medidas pode gerar responsabilidades civis ao controlador”, completou.
Como exemplo, Carlos Bruno citou situações ocorridas na Europa e nos Estados Unidos, em que empresas foram condenadas a pagar pesadas multas por não terem protegido adequadamente os dados de seus clientes. No Brasil, segundo ele, a LGPD obriga órgãos e empresas a comunicar à Autoridade Nacional de Proteção de Dados (ANPD), de forma imediata, qualquer incidente de segurança em seus bancos de dados que acarrete risco aos usuários. “Quanto antes se descobrem esses episódios, maiores são as condições de se reprimir o vazamento de dados e diminuir os danos aos titulares das informações”, explicou. A agilidade na comunicação também deve ser levada em conta pela autoridade nacional na aplicação das sanções previstas em lei.
Desde agosto de 2021, a LGPD prevê a aplicação de uma série de sanções administrativas, como advertência, multa, bloqueio ou eliminação de dados pessoais para aqueles que não garantirem a proteção dessas informações em seus sistemas. Além disso, a lei estabelece que os detentores ou operadores de dados pessoais também podem ser responsabilizados pelos danos causados aos titulares das informações utilizadas de forma indevida. O pedido pode ser apresentado à Justiça pelo Ministério Público, quando entender cabível, por meio de ação civil pública.
"Do ponto de vista cível, nossa legislação é muito boa, reproduz quase toda a norma europeia, que é hoje a mais moderna sobre o assunto. Temos ferramentas administrativas, cíveis e penais para enfrentar o problema e há propostas em tramitação no Congresso que podem melhorar ainda mais esses instrumentos”, pontuou. É o caso do Projeto de Decreto Legislativo (PDL) 255/2021, que oficializa a adesão do Brasil à Convenção de Budapeste sobre Crimes Cibernéticos. Além de sugerir a tipificação penal de crimes cometidos pela internet, o tratado internacional cria uma série de mecanismos para aprimorar a persecução penal desse ilícito. O projeto foi aprovado pela Câmara dos Deputados em outubro, mas ainda aguarda apreciação pelo Senado Federal.
Fonte: Procuradoria-Geral da República, em 15.12.2021