O ano de 2021 já começou com um grande número de incidentes de segurança aqui no Brasil, e, isto posto, já podemos começar a analisar como está sendo o trabalho da Autoridade Nacional de Proteção de Dados (ANPD), órgão governamental recentemente fundado para garantir a aplicação da Lei Geral de Proteção de Dados (LGPD). Infelizmente, o que podemos constatar é que a instituição tem demonstrado certa passividade em seus deveres, mantendo-se em silêncio e sendo um tanto lenta na resposta a incidentes.

Recentemente, tivemos a notícia de um suposto vazamento que teria exposto dados pessoais de mais de 220 milhões de cidadãos brasileiros; também houveram rumores a respeito de uma exposição de informações ocasionada por operadoras de telefonia móvel.

A imprensa especializada também identificou, neste mês de fevereiro, uma falha na Secretaria da Educação do Distrito Federal que expôs dados de quase 1,5 milhão de estudantes — e nem citamos o episódio em que senhas do Ministério da Saúde surgiram na web. Claro, também há polêmicas de abusos na coleta e processamento de informações pessoais por parte de empresas privadas, como o WhatsApp, que causou comoção ao mudar sua política de privacidade.

Em todos esses incidentes, a atuação da ANPD se mostrou, no mínimo, decepcionante. Seu papel parece se limitar a enviar ofícios para terceiros e encomendar investigações; até mesmo a Fundação de Proteção e Defesa do Consumidor de São Paulo (Procon-SP) parece ser mais ágil em notificar as empresas envolvidas, intimá-las a dar mais detalhes sobre o incidente, forçá-las a ser mais transparentes com o usuário final e até mesmo aplicar sanções punitivas se assim for necessário.

Obviamente, não podemos exigir muita coisa de uma agência que tem pouquíssimos meses de idade, sendo formada com poucos recursos e uma gigantesca pressão do mercado. Porém, a sensação é de que um braço mais técnico, capaz de trabalhar em conjunto com o setor privado para agilizar investigações e respostas a incidentes faz muita falta para tornar a ANPD um órgão mais eficiente e proativo.

Fica difícil comparar a lei brasileira com a norma europeia, mas vale lembrar que, na GDPR, cada país possui sua própria autoridade de proteção de dados. Todas são gerenciadas, porém, pelo Escritório dos Encarregados da Informação (Information Commissioner’s Office ou ICO), que responde pela União Europeia como um todo. Ainda que receba críticas na Europa, o ICO surpreende por lançar investigações de forma independente contra, por exemplo, redes sociais como o TikTok e o Facebook, no intuito de garantir que não existam abusos com as informações privadas dos internautas.

Novamente, é difícil esperar que um órgão constituído às pressas — possivelmente com um baixo orçamento e com uma estrutura organizacional deficiente — consiga realizar uma reparação histórica de negligência das empresas brasileiras com segurança da informação. Porém, este é o momento de analisarmos os erros e acertos para que ajustes finos sejam feitos. Quanto mais rápido atingirmos o modelo ideal de atuação, mais rápido garantimos uma taxa aceitável de compliance com a LGDP dentro das corporações brasileiras.

Autor do post: Ramon de Souza – Escritor, jornalista especializado, palestrante e consultor em segurança da informação. Editor-chefe da The Hack, repórter do Canaltech e fundador da Tietê Security.