Empresas do setor de transporte estão sendo alvo de cibercriminosos

O Brasil sofreu 357.422 ataques hackers no segundo semestre de 2023, registrando um aumento de 8,86% em relação ao ano anterior. Entre os principais setores atingidos no país, aparece justamente o de transporte de cargas e logística, com 25.620 registros, de acordo com o Relatório de Inteligência de Ameaças da empresa NetScout.

Para Alex Diniz, gestor de Tecnologia da Informação, o avanço de casos no setor pode estar ligado a falta de investimentos na área. “Algumas transportadoras acabam não se preocupando com a segurança da informação e os hackers percebem onde há maior facilidade para atuar”.

Como acontece

Diniz explica que um ataque virtual pode ocorrer de várias formas, porém a mais comum é através do phishing que são e-mails mal-intencionados, ou por meio de SMS e mensagens de WhatsApp contendo links duvidosos que, ao serem acessados abrem brechas para entrada de vírus ou ransomware (softwares maliciosos).

A outra possibilidade é quando o ataque é mais planejado, e o criminoso estuda previamente formas de violar os sistemas de proteção de uma determinada instituição para hackear seus dados e pedir um resgate.

Em ataques assim, eles roubam os dados ou codificam informações. No caso de uma transportadora hackeada, ela não consegue acessar seus arquivos, emitir a documentação, contatar seus clientes e fazer o monitoramento da carga, portanto, fica sem operar e perde faturamento.

“A maioria desses ataques é para tirar vantagem das empresas, extorquindo-as. Eles ameaçam, falando que, se não pagarem o resgate, não irão devolver os dados”, relata Ewerthon Sousa, especialista em redes de computadores.

Ele conta que se o computador for infectado com um ransomware, muito possivelmente aparecerá para o usuário uma mensagem comunicando o crime, exigindo um pagamento feito via criptomoedas, para dificultar o rastreamento.

“Só que uma das piores coisas que se pode fazer nesta situação é pagar pelo resgate, porque assim estaria incentivando os criminosos a continuarem com isso. Fora que não é certeza que você terá seus dados de volta”, alerta Sousa.

“Tem empresas que pagam e não conseguem recuperar seus arquivos. Teve um caso em que soubemos que a empresa teve prejuízo duas vezes. Pagaram os criminosos, que não devolveram os acessos, depois contrataram um hacker indiano na tentativa de recuperar os dados e ele não conseguiu. No final, perderam tudo. A saída foi começar do zero a implantação de um novo sistema”, compartilhou Diniz.

Cerca de 93% das empresas brasileiras que sofreram um sequestro digital de dados, em 2023, pagaram pelo resgate de seus arquivos, segundo a última edição do Índice Global de Proteção de Dados, da americana Dell.

Este mesmo relatório apontou que o gasto das companhias, em média, para se recuperar de um ataque de ransomware foi de cerca de US$ 1,92 milhão (R$ 9,49 milhões) no Brasil, incluindo custos com o tempo de inatividade, funcionários e tecnologia.

O gestor de TI dá dicas sobre como o usuário pode identificar um e-mail que não é seguro. “Verifique o remetente, avalie a ortografia, normalmente e-mail phishing vem com erros de escrita. Posicione o mouse em cima do link, sem clicar, para ver a página de destino dele. Se não tem no fim o ‘br’ é uma página do exterior, o que não é comum. Neste caso, vale chamar o pessoal da TI para avaliar se há risco”.

“Também tem aquela brecha que o hacker se vale do que chamamos de engenharia social. Suponhamos que você troca e-mails com uma pessoa confiável, só que ela é hackeada, e sem perceber, o hacker usa a conta dela para te enviar e-mail. Então, se observou algo duvidoso, fale diretamente e confirme com a pessoa se ela realmente enviou aquele conteúdo”, avisa o especialista em redes.

Os ataques podem ser escalonados. Sousa compara a uma doença no corpo que entra por algum machucado e se espalha pela corrente sanguínea. “O vírus, frequentemente chamado de malware, entra em uma máquina e tenta avançar no máximo de máquinas possíveis da mesma rede, até atingir o servidor, que é onde o sistema da empresa está instalado e comporta todos os arquivos”.

Prevenir é a melhor defesa

“Normalmente a brecha para um ataque vem de dentro para fora: usuários que utilizam senha fraca, não usam a autenticação de dois fatores e que liberam um acesso indevido”, exemplifica o gestor de TI.

Diniz e Sousa acreditam que a melhor defesa para um ataque é a prevenção. É essencial ter um backup atualizado, nunca salvo somente na rede local, mas também em nuvem ou em dispositivo externo.

Outro item importante é ter uma política de segurança interna para que todos tenham a consciência de que um simples clique pode trazer consequências. “É preciso fechar todas as brechas, nunca utilizar softwares pirata ou crackeados. Dispor de um antivírus e também de um firewall é imprescindível”, indica Diniz.

Mais uma medida de segurança é que somente o usuário administrador seja o único habilitado a instalar qualquer programa nos computadores, isso diminui o risco para entrada de vírus.

O que a LGPD diz sobre o assunto

A Lei Geral de Proteção de Dados não trata do crime de hardware (invasão de dispositivo) — isto está previsto no Código Penal­, mas trata do crime de violação de dados. O que significa que, caso sua empresa sofra um ciberataque, ela precisa comunicar a ANDP (Autoridade Nacional de Proteção de Dados). “Porque se a empresa tiver os dados de seus clientes vazados e não tomar as medidas cabíveis para o contingenciamento, ela pode levar uma multa, ou sofrer alguma sanção”, explica Sousa.

Em algumas situações, o especialista adverte que a empresa terá que entrar em contato com o titular dos dados para avisá-lo sobre o vazamento, e demonstrar junto à ANPD que a organização mantinha uma rotina de segurança da informação. “Se não, além do prejuízo por conta do ataque, a empresa pode levar uma multa por não gerenciar seus dados adequadamente”, menciona por fim.

Fique atento!

5 passos a serem tomados pela sua empresa caso ocorra um ataque hacker, segundo os especialistas consultados:

1º desconectar tudo da internet.

2º tentar identificar quais dispositivos foram infectados.

3º analisar o que deixou o sistema vulnerável.

4º formatar as máquinas infectadas e remover vírus ou ransomware.

5º antes de reconectá-las à rede, garantir que todas as máquinas e dispositivos estejam atualizados para evitar vulnerabilidades.

 

Empresas do setor de transporte estão sendo alvo de cibercriminosos

O Brasil sofreu 357.422 ataques hackers no segundo semestre de 2023, registrando um aumento de 8,86% em relação ao ano anterior. Entre os principais setores atingidos no país, aparece justamente o de transporte de cargas e logística, com 25.620 registros, de acordo com o Relatório de Inteligência de Ameaças da empresa NetScout.

Para Alex Diniz, gestor de Tecnologia da Informação, o avanço de casos no setor pode estar ligado a falta de investimentos na área. “Algumas transportadoras acabam não se preocupando com a segurança da informação e os hackers percebem onde há maior facilidade para atuar”.

Como acontece

Diniz explica que um ataque virtual pode ocorrer de várias formas, porém a mais comum é através do phishing que são e-mails mal-intencionados, ou por meio de SMS e mensagens de WhatsApp contendo links duvidosos que, ao serem acessados abrem brechas para entrada de vírus ou ransomware (softwares maliciosos).

A outra possibilidade é quando o ataque é mais planejado, e o criminoso estuda previamente formas de violar os sistemas de proteção de uma determinada instituição para hackear seus dados e pedir um resgate.

Em ataques assim, eles roubam os dados ou codificam informações. No caso de uma transportadora hackeada, ela não consegue acessar seus arquivos, emitir a documentação, contatar seus clientes e fazer o monitoramento da carga, portanto, fica sem operar e perde faturamento.

“A maioria desses ataques é para tirar vantagem das empresas, extorquindo-as. Eles ameaçam, falando que, se não pagarem o resgate, não irão devolver os dados”, relata Ewerthon Sousa, especialista em redes de computadores.

Ele conta que se o computador for infectado com um ransomware, muito possivelmente aparecerá para o usuário uma mensagem comunicando o crime, exigindo um pagamento feito via criptomoedas, para dificultar o rastreamento.

“Só que uma das piores coisas que se pode fazer nesta situação é pagar pelo resgate, porque assim estaria incentivando os criminosos a continuarem com isso. Fora que não é certeza que você terá seus dados de volta”, alerta Sousa.

“Tem empresas que pagam e não conseguem recuperar seus arquivos. Teve um caso em que soubemos que a empresa teve prejuízo duas vezes. Pagaram os criminosos, que não devolveram os acessos, depois contrataram um hacker indiano na tentativa de recuperar os dados e ele não conseguiu. No final, perderam tudo. A saída foi começar do zero a implantação de um novo sistema”, compartilhou Diniz.

Cerca de 93% das empresas brasileiras que sofreram um sequestro digital de dados, em 2023, pagaram pelo resgate de seus arquivos, segundo a última edição do Índice Global de Proteção de Dados, da americana Dell.

Este mesmo relatório apontou que o gasto das companhias, em média, para se recuperar de um ataque de ransomware foi de cerca de US$ 1,92 milhão (R$ 9,49 milhões) no Brasil, incluindo custos com o tempo de inatividade, funcionários e tecnologia.

O gestor de TI dá dicas sobre como o usuário pode identificar um e-mail que não é seguro. “Verifique o remetente, avalie a ortografia, normalmente e-mail phishing vem com erros de escrita. Posicione o mouse em cima do link, sem clicar, para ver a página de destino dele. Se não tem no fim o ‘br’ é uma página do exterior, o que não é comum. Neste caso, vale chamar o pessoal da TI para avaliar se há risco”.

“Também tem aquela brecha que o hacker se vale do que chamamos de engenharia social. Suponhamos que você troca e-mails com uma pessoa confiável, só que ela é hackeada, e sem perceber, o hacker usa a conta dela para te enviar e-mail. Então, se observou algo duvidoso, fale diretamente e confirme com a pessoa se ela realmente enviou aquele conteúdo”, avisa o especialista em redes.

Os ataques podem ser escalonados. Sousa compara a uma doença no corpo que entra por algum machucado e se espalha pela corrente sanguínea. “O vírus, frequentemente chamado de malware, entra em uma máquina e tenta avançar no máximo de máquinas possíveis da mesma rede, até atingir o servidor, que é onde o sistema da empresa está instalado e comporta todos os arquivos”.

Prevenir é a melhor defesa

“Normalmente a brecha para um ataque vem de dentro para fora: usuários que utilizam senha fraca, não usam a autenticação de dois fatores e que liberam um acesso indevido”, exemplifica o gestor de TI.

Diniz e Sousa acreditam que a melhor defesa para um ataque é a prevenção. É essencial ter um backup atualizado, nunca salvo somente na rede local, mas também em nuvem ou em dispositivo externo.

Outro item importante é ter uma política de segurança interna para que todos tenham a consciência de que um simples clique pode trazer consequências. “É preciso fechar todas as brechas, nunca utilizar softwares pirata ou crackeados. Dispor de um antivírus e também de um firewall é imprescindível”, indica Diniz.

Mais uma medida de segurança é que somente o usuário administrador seja o único habilitado a instalar qualquer programa nos computadores, isso diminui o risco para entrada de vírus.

O que a LGPD diz sobre o assunto

A Lei Geral de Proteção de Dados não trata do crime de hardware (invasão de dispositivo) — isto está previsto no Código Penal­, mas trata do crime de violação de dados. O que significa que, caso sua empresa sofra um ciberataque, ela precisa comunicar a ANDP (Autoridade Nacional de Proteção de Dados). “Porque se a empresa tiver os dados de seus clientes vazados e não tomar as medidas cabíveis para o contingenciamento, ela pode levar uma multa, ou sofrer alguma sanção”, explica Sousa.

Em algumas situações, o especialista adverte que a empresa terá que entrar em contato com o titular dos dados para avisá-lo sobre o vazamento, e demonstrar junto à ANPD que a organização mantinha uma rotina de segurança da informação. “Se não, além do prejuízo por conta do ataque, a empresa pode levar uma multa por não gerenciar seus dados adequadamente”, menciona por fim.

Fique atento!

5 passos a serem tomados pela sua empresa caso ocorra um ataque hacker, segundo os especialistas consultados:

1º desconectar tudo da internet.

2º tentar identificar quais dispositivos foram infectados.

3º analisar o que deixou o sistema vulnerável.

4º formatar as máquinas infectadas e remover vírus ou ransomware.

5º antes de reconectá-las à rede, garantir que todas as máquinas e dispositivos estejam atualizados para evitar vulnerabilidades.

 

Advogados, contudo, avaliam que persiste o risco de as companhias receberem multa por violação à LGPD ou lei de defesa da concorrência

O Ministério do Trabalho Emprego (MTE) divulgou, nesta quinta-feira, os dados dos relatórios de transparência das empresas para o cumprimento da Lei da Igualdade Salarial (Lei nº 14.611, de 2023).

Eles apareceram no Portal do Emprega Brasil, individualizados e somente a própria empresa teve acesso. Ainda assim, advogados avaliam que persiste o risco de as companhias receberem multa por violação tanto da Lei Geral de Proteção de Dados (LGPD), quanto da Lei da Defesa da Concorrência, e uma alternativa é o Judiciário.

Para quem optar por entrar com ação na Justiça, ontem mesmo um precedente importante foi proferido. A desembargadora federal do Tribunal Regional da 3ª Região (TRF-3) Adriana Pileggi acolheu um pedido de liminar que livra os associados da Associação Brasileira de Proteína Animal e da Associação Brasileira das Indústrias Exportadoras de Carnes da obrigação de publicação do relatório da transparência nos sites e redes sociais das empresas até o próximo dia 31 (processo nº 5006121-94.2024.4.03.0000).

A elaboração do relatório foi imposto pela lei – com o objetivo de trazer equidade de gênero nos locais de trabalho -, mas a exigência da publicação nos sites e redes sociais foi estabelecida pela regulamentação da norma, por meio do Decreto nº 11.795.

“O modelo da live do MTE [sobre o relatório] foi seguido e cada empresa entra no Portal e acessa o seu relatório, mas as críticas e receios continuam em relação à publicidade do documento”, afirma a advogada Thereza Cristina Carneiro, sócia da área trabalhista do CSMV Advogados. “Assim, ainda deve ter aumento da demanda de questionamentos judiciais

Liminares livram drogarias de publicar relatório de transparência

Segundo a Daniela Yuassa, sócia trabalhista do Stocche Forbes, agora as empresas estão checando as informações liberadas pelo Ministério do Trabalho e Emprego. “Elas estão fazendo algumas ponderações, se entram com mandado de segurança para ter liminar permitindo a não publicação dos dados no site e redes sociais, dizendo que o relatório não remete à realidade. Outros ponderam a possibilidade de o link de divulgação incluir notas explicativas sobre as possíveis distorções”, diz.

Por exemplo, diz ela, a base comparativa considerou diversas profissões em um grupo de empregados de nível superior. “Mas tem profissionais com variados anos de casa, de variadas classes (júnior, sênior etc). Pode parecer que a empresa é sexista sem ser”, afirma. A advogada diz que a terceira opção é não publicar o relatório, assumir o risco de levar uma multa e, se for o caso, partir para a discussão judicial.

Para o advogado Marcos Veríssimo, ex-conselheiro do Conselho Administrativo de Defesa Econômica (Cade) e professor da Faculdade de Direito da USP, do ponto de vista concorrencial, o problema está na divulgação da lista de salários da empresa, ainda que de forma anonimizada. “Os dados que empresas enviaram ao MTE são, ao meu ver, bastante específico”, afirma. Agora, diz ele, muitas empresas esperam o resultado das ações das Confederações Nacionais da Indústria e Comércio (CNI e CNC) contra a publicação do relatório de transparência a serem julgadas no Supremo Tribunal Federal (STF).

Já o advogado Jorge Matsumoto, do Bichara Advogados, que conseguiu a liminar favorável às duas associações, afirma que essa decisão é importante porque tem efeito coletivo e já é da segunda instância. “Os principais argumentos apresentados ao Judiciário nesse caso foram a violação ao direito do contraditório e risco de exposição desnecessário”, diz o especialista.

“Vamos usar agora essa decisão para tentar o mesmo para outras duas associações”, acrescenta.

Adotar soluções de segurança cibernética, além de uma medida protetiva é uma exigência para atender os requisitos legais de cuidados com os dados pessoais

A operacionalização das empresas passa pelo ambiente digital, que obviamente, está suscetível a riscos. No ano de 2021, os prejuízos globais ocasionados por ataques cibernéticos ultrapassaram a marca de US$ 6 trilhões.

De olho nesse tipo de crime, a LGPD (Lei Geral de Proteção de Dados) prevê uma série de medidas de cibersegurança para as instituições, na prevenção de vazamentos de dados e no que deve ser feito, em caso de incidentes.

Geralmente em ciberataques, os criminosos roubam dados de instituições como informações pessoais para cometerem fraudes, ou fazem o sequestro de arquivos das empresas, exigindo um pagamento para o resgate.

“Dados são os grandes ativos nos dias atuais. O Brasil ocupa a 5ª posição entre os países mais atacados no ranking global”, alerta a coordenadora da área de Direito Contratual, Digital e Regulatório do escritório De Natale, Karen Seolin.

Ela orienta que as organizações tenham uma gestão de risco que detectem as vulnerabilidades de seus sistemas de proteção. “Um antivírus desatualizado, drivers mal instalados e senhas administrativas padrão deixam as empresas menos protegidas”.

Rodrigo Cruz, que é head de Data Privacy e DPO na BDR Consulting, informa também que os ciberataques estão crescendo. “Se antes a preocupação das transportadoras estava restrita ao roubo e furto de veículo e carga, agora elas precisam se atentar às fraudes virtuais”, avalia ele.

Ainda assim, Cruz acredita que não existem sistemas de defesa infalíveis, mas é possível mitigar riscos em várias esferas, se adequando as boas práticas de segurança previstas pela LGPD. Para que se algum vazamento de dados aconteça, a empresa não seja vista pela ANPD (Autoridade Nacional de Proteção de Dados) como facilitadora ou conivente com o incidente.

O especialista na BDR Consulting avisa que se acontecer um incidente grave de vazamento de dados, a instituição tem, de acordo com a legislação, até 48h para avisar a ANPD e elaborar uma documentação com avaliação interna do acidente, entre outras providências.

Já para diminuir a exposição aos riscos, a especialista em proteção de dados, Ariana Lopes, indica medidas que tornam os dados mais seguros, como por exemplo, não resgatar mensagens de lixo eletrônico, usar gerenciador de senhas e manter os back ups na nuvem, em um local diferente do servidor da empresa.

“Quando um funcionário é demitido, quanto tempo a empresa demora para suspender os acessos dele?”,  questionou. “Assim como os trâmites burocráticos, essa providência deve ser feita de forma imediata”, aconselhou a especialista.

Ela aproveitou para destacar a importância de a empresa orientar seus funcionários a fazerem a troca de senhas periodicamente e a não clicarem em links suspeitos e nem acessarem e-mails pishing — aqueles que vem com uma mensagem falsa elaborada para parecer legítima e normalmente, solicita informações pessoais confidenciais.

“Geralmente os ransomwares vem por e-mails de phishing. É um tipo de software de sequestro de dados, feito por meio de criptografia, que usa como refém arquivos da vítima e cobram para restabelecer o acesso a estes arquivos”, apontou.

Os três especialistas estiveram presente no quinto webinar da ‘série LGPD’, e trataram especificamente sobre a cibersegurança aplicada a legislação. O seminário online foi promovido pelo SETCESP em parceria com o escritório De Natale, transmitido pela plataforma EAD da entidade, no dia 3 de março.

Mas a gravação ainda está disponível e todas as orientações sobre o assunto em detalhes, podem ser consultadas na íntegra.

Acesse e assista o webinar.

 

8 dicas de como proteger sua empresa de ataques cibernéticos:

• 1 – Faça uma lista de todos os softwares, dados e equipamentos que são utilizados, incluindo desktops, notebooks, smartphones e tablets;
• 2 – Use senhas em todos os equipamentos;
• 3 – Crie e compartilhe uma política de segurança cibernética com os colaboradores;
• 4 – Mantenha seus softwares atualizados e use antivírus em todos computadores e dispositivos eletrônicos;
• 5 – Mantenha um backup do seu banco de dados em segurança na nuvem;
• 6 – Limite e registre o tráfego de rede com um Firew;
• 7 – Investigue quaisquer atividades incomuns em sua rede; e
• 8 – Restrinja permissões em arquivos compartilhados.

A Autoridade Nacional de Proteção de Dados (ANPD) aplicou, nesta quinta-feira (6/7), a primeira sanção por descumprimento à Lei Geral de Proteção de Dados. Uma microempresa de telecomunicações recebeu advertência e multa total de R$ 14,4 mil reais.

Segundo o despacho da ANPD, a empresa violou os artigos 7º da LGPD e 5º do Regulamento de fiscalização, que tratam, respectivamente, da indicação de encarregado pelo tratamento de dados pessoais (DPO) e o descumprimento dos deveres relativos à fiscalização da ANPD. Cada infração resultou em advertência e multa simples de R$ 7,2 mil cada, totalizando, R$ 14,4 mil reais.

A princípio, o valor da multa pode aparentar ser de pouca monta, tendo em vista o teto previsto na Lei. Ocorre que os parâmetros para a aplicação das penalidades tem como um dos requisitos o faturamento das empresas. Nesse caso, a empresa penalizada trata-se de um empresário individual, segundo as informações de seu Cadastro Nacional da Pessoa Jurídica, o que dê certo impacta consideravelmente na receita da empresa.

A LGPD não só pegou, como vem sendo fiscalizada!

Em caso de dúvidas entre em contato com o departamento jurídico do SETCESP, através do e-mail juridico@setcesp.org.br ou telefone (11) 2632-1005.

O seminário online, que é gratuito para as empresas associadas, foi transmitido pela plataforma EAD do SETCESP

Na manhã de hoje (13), foi ao ar o quinto vídeo da série ‘webinar LGPD’, promovida pelo SETCESP em parceria com o escritório De Natale. O tema da vez, tratou da cibersegurança adequada à legislação.

A coordenadora da área de Direito Contratual, Digital e Regulatório do escritório De Natale, Karen Seolin, iniciou o assunto definindo a cibersegurança como a prática de proteger redes, sistemas e qualquer outra infraestrutura digital, contra os ataques cibernéticos.

“Toda a empresa tem que ter a defesa da privacidade como missão. Dados são os grandes ativos nos dias atuais, e entre os pilares da segurança da informação está a confidencialidade e integridade”, alertou.

Seolin ainda apresentou alguns levantamentos que possibilitaram entender a importância do assunto. Em 2022, ocorreram 103 bilhões de tentativas de ataques cibernéticos às empresas brasileiras. O Brasil ocupa a 5ª posição entre os países mais atacados no ranking global.

Na sequência, Rodrigo Cruz, que é head de Data Privacy e DPO na BDR Consulting, também informou que os ciberataques estão crescendo, aumentaram 16% de 2021 para 2022. “Se antes a preocupação das transportadoras estava restrita ao roubo e furto de veículo e carga, agora ela precisa se atentar às fraudes virtuais”.

Cruz disse ainda, que não existem sistemas de defesa infalíveis, mas é possível mitigar riscos em várias esferas. E, acima de tudo a empresa deve seguir boas práticas de segurança, para que se algum vazamento de dados aconteça, ela não seja vista pela ANPD (Autoridade Nacional de Proteção de Dados) como facilitadora ou conivente com o incidente.

Depois, a advogada especialista em proteção de dados, Ariana Lopes, indicou as medidas técnicas, físicas, administrativas e comportamentais que tornam os dados mais seguros.

“Quando um funcionário é demitido, quanto tempo a empresa demora para suspender os acessos dele?”,  questionou. “Assim como os trâmites burocráticos, essa providencia deve ser feita de forma imediata”, aconselhou a especialista.

Ela aproveitou para destacar a importância de a empresa orientar seus funcionários a não clicarem em links suspeitos e nem acessarem e-mails pishing (do inglês, se remete ao conceito de enganoso). Além disso, a fazerem a troca de senhas periodicamente.

Por fim, a coordenadora jurídica do SETCESP, Carol Duarte, chamou a atenção para que as organizações criem uma cultura de segurança, que esteja presente em todos os processos de suas atividades. “A LGPD já está em vigor, se sua empresa não começou a se adequar é preciso fazer urgentemente”.

Anote na Agenda — O próximo webinar da série LGPD já tem data para acontecer. Será dia 25 de maio e destacará ‘A LGPD no Marketing’. O conteúdo será transmitido pela plataforma EaD do SETCESP.

 

O assunto foi esclarecido por especialistas durante a transmissão pela plataforma EAD da entidade

Ontem (29), o SETCESP promoveu em parceria com o escritório De Natale, um webinar para esclarecer as sanções previstas na LGPD (Lei Geral de Proteção de Dados). A transmissão do seminário online foi feita pela plataforma de cursos de EAD.

As recentes Resoluções 3, 4 e 5 publicadas pela Autoridade Nacional de Proteção de Dados (ANPD), passaram a contemplar diversos fatores relacionados às multas e penalidades, bem como a possibilidade de as fiscalizações serem realizadas por outras agências reguladoras como: o Banco Central, a ANTT, a ANATEL, a ANP e a CVM.

Durante sua explicação, a Dra. Ariana Lopes do escritório De Natale, especialista em LGPD, falou como serão fixadas essas penalidades e a dosimetria, – que é a escolha da sanção mais apropriada para cada caso.

“A dosimetria é a forma que a ANPD terá para analisar e calcular qual será a sanção cabível, e também o valor da multa aplicável ao infrator”, contou.

Na sequência, a Dra. Karen Seolin, coordenadora da área de Direito Contratual, Digital e Regulatório do escritório De Natale, apresentou como serão classificadas as infrações e discorreu sobre o que mudou com as recentes regulamentações.

“ A Lei já existe desde 2020. O que houve agora foram regulamentações em relação aos processos sancionatórios. A ANDP verificará situações a partir de quando a lei passou a vigorar. Então, se a sua não está adequada, precisa fazer isso o mais urgente possível, porque haverá infrações permanentes”, alertou ela.

“Muito importante todos os tópicos que foram abordados em relação às sanções e penalidades, inclusive os critérios que serão utilizados para isso”, disse Carol Duarte, coordenadora jurídica do SETCESP.

Para Duarte, todo o processo de adequação da LGPD vai fazer diferença, no momento em que a ANPD for fiscalizar ou apurar alguma denúncia. “O que foi implementado é o que será levado em conta, para a aplicação de uma advertência ou penalidade”.

Anote na agenda! O próximo webinar da série LGPD já tem data marcada. Será no dia 13 de abril sobre Cibersegurança. Clique e inscreva-se.

Publicada no dia 27/02/23 pela ANPD, a chamada “norma de dosimetria” dispõe sobre o cálculo de aplicação de multas em casos de infrações a Lei Geral de Proteção de Dados Pessoais.

A normativa publicada pela ANPD surge para dar cumprimento aos artigos 52 e 53 da LGPD, que previu a necessidade de um regramento administrativo para regulamentar as penalidades para as hipóteses de infração a LGPD que envolvem sanções pecuniárias e não pecuniárias, como suspensão do tratamento até multa diária.

A nova Portaria 4º CD/ANPD dispõe que para a aplicação das multas será considerado fatores como: o grau de dano causado, a boa-fé do infrator, vantagem auferida ou pretendida com a infração, condição econômica do infrator, reincidência, grau do dano causado, quais foram as medidas e procedimentos que a empresa fiscalizada adotou tanto para evitar o dano, quanto para corrigi-lo, a cooperação do infrator com a ANPD na investigação, entre outros.

É importante constar que a Portaria ainda expressa que não apenas a ANPD será responsável pelo cumprimento da LGPD com aplicação de penalidades, mas também prevê o acionamento de reguladores setoriais, tais como o Banco Central, ANTT, ANATEL ANP, CVM. Tal fato confirma que a implantação da LGPD é necessária, pois cada vez mais as sanções da LGPD estão aproximadas a atividade comercial da empresa e seus próprios negócios.

Restou também definido como agravante na aplicação de penalidades a realização de tratamento de dados pessoais sem o amparo em uma das hipóteses legais previstas na LGPD, sendo de suma importância que as empresas que não estão respaldadas com uma base legal para tratamento de dados procurem se adequar a legislação, e as que já estão, que procurem rever se estão aplicando a LGPD considerando as hipóteses de exceção adequadamente.

Fica cada vez mais claro que a LGPD é uma legislação que se consolidou, com sanções claras e iminentes, pois a aplicação da lei será fiscalizada também por outros entes e agências, o que certamente atingirá ainda mais seu negócio. Resta a reflexão de que a multa é uma punição extremamente relevante e que dê certo será efetivamente aplicada, mas para as empresas as consequências serão maiores a sua reputação perante o mercado.

o SETCESP realizará um webinar sobre a aplicação da Lei em cibersegurança, no próximo dia 16 de março. Os especialistas do escritório Palma de Natale apresentarão o conceito de segurança cibernética relacionada a LGPD, os tipos de ataques cibernéticos e as práticas de proteção que devem ser aplicadas para garantir a integridade dos dados das empresas.

Em relatório do TCU (Tribunal de Contas da União), o SEST SENAT se destacou pela conformidade aos preceitos da LGPD, a Lei Geral de Proteção de Dados (Lei n.° 13.709/2018). O tribunal avaliou 382 organizações, a partir de quesitos como: conformidade de tratamento; direitos do titular; medidas de proteção etc. As informações foram colhidas em questionários.

O órgão elaborou um indicador, que distribuiu as empresas auditadas em quatro níveis de maturidade com relação à lei: inexpressivo, inicial, intermediário e aprimorado. O SEST SENAT conquistou o nível “aprimorado” de adequação, figurando entre as 11 melhor avaliadas, o que corresponde a 2,9% do espaço amostral.

O ótimo desempenho é resultado do esforço pioneiro do SEST SENAT, que capacitou seus colaboradores com uma série de ações, incluindo a edição de uma cartilha e a realização de treinamentos e webinars. Também foram criados processos e normativos internos. Juntos, esses expedientes criaram um ambiente propício ao cumprimento da lei.

Além dos esforços internos, o Sistema CNT – formado pela CNT, pelo SEST SENAT e pelo ITL – trabalha pela adequação de todo o setor de transporte, tendo elaborado o Guia de Boas Práticas de Proteção de Dados no Setor de Transporte e idealizado os cursos “LGPD no Setor de Transporte” e “LGPD Descomplicada”, entre outras ações.

Diretora executiva nacional do SEST SENAT representou a instituição no XXV Congresso Internacional de Direito Constitucional

O Sistema CNT participou, na última semana (8), em Brasília, do painel “Regulação responsiva, proteção de dados e códigos de boas práticas”, parte da programação do XXV Congresso Internacional de Direito Constitucional. Na ocasião, representou a entidade Nicole Goulart, diretora executiva nacional do SEST SENAT, que dividiu a mesa com Marcos Ottoni, coordenador geral jurídico da CNSaúde (Confederação Nacional de Saúde), e Fabiola Pasini, gerente de consultoria da Diretoria Jurídica da CNI (Confederação Nacional da Indústria).

Na ocasião, cada participante expôs a experiência do respectivo setor na elaboração de documentos balizadores de boas práticas, em um autêntico movimento de regulação responsiva. “A lógica de comando e controle vem ficando ultrapassada. Fica claro que a LGPD não é um fim em si mesma, de modo que, para trazer segurança jurídica a todos os atores, é preciso entender as especificidades e os mapear riscos. Esse é o desafio na construção de códigos setoriais”, observou a moderadora da mesa, a advogada e professora Mônica Tiemy Fujimoto, do IDP.

Nicole Goulart apresentou os resultados do Programa Nacional LGPD no Transporte. Ela explicou que, desde a implementação da LGPD, o Sistema CNT desenvolveu uma série de ações para auxiliar o setor de transporte na implantação das novas regras referentes ao uso de dados, como a oferta de cursos para executivos, trabalhadores das empresas e um guia de boas práticas. Também foram realizados eventos para lançar luz sobre a importância do tema no transporte. No Portal lgpd.cnt.org.br, é possível ter acesso a todo o trabalho desenvolvido pelo Sistema CNT.

“Precisávamos ter o olhar não apenas de quem propõe um guia de boas práticas, mas de quem o utiliza no dia a dia. Em 2022, realizamos cerca de 12 milhões atendimentos, incluindo, por exemplo, consultas em Psicologia, que têm um regramento muito próprio e envolvem dados sensíveis. Esse exercício foi muito valioso”, compartilhou. A diretora detalhou, ainda, o plano do Sistema em disseminar as boas práticas a partir de três eixos: sensibilização, capacitação e aplicação. “Iniciamos a capacitação em nível operacional. Em seguida, partimos para o executivo e, só então, lançamos o guia de boas práticas”, completou. Os debatedores prestaram homenagens ao professor Danilo Doneda, falecido em 4 de dezembro. O advogado participou das discussões sobre o Marco Civil da Internet, aprovado em 2015, e foi um dos autores do anteprojeto de lei que resultou na Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Como consultor do Sistema CNT, coordenou a publicação “LGPD no Setor de LGPD no Setor de Transporte – Orientações para a Implementação da Lei Geral de Proteção de Dados Pessoais”, além dos cursos “LGPD no Setor de Transporte” e “LGPD Descomplicada”.