Artigo
Artigo
A proteção de dados pessoais avança pelo mundo
crédito da imagem: Freepik
Com a consolidação do entendimento de que assegurar o direito à proteção de dados pessoais e privacidade são fatores vitais para uma sociedade responsável, justa e organizada, os países vêm adotando um conjunto de dispositivos legais que fortalecem essas garantias para seus cidadãos pelo mundo.
Figura 1 - Leis e projetos de lei nacionais tratam de proteção de dados/privacidade de 2024 (Fonte: Banisar, 2024)
A evidência da preocupação com privacidade e proteção de dados pode ser observada no estudo realizado por Banisar (2024), cujo objetivo foi mapear os países com leis e projetos de lei que abrangem a proteção de dados. O estudo demonstrou que 82% da população mundial vive sob jurisdições que contam com leis ou regulamentos que abordam a proteção de dados. As leis desses países aplicam-se às informações pessoais mantidas em formato eletrônico e físico.
Para que se tenha noção do esforço que os países têm dedicado para fazer valer o direito à proteção de dados pessoais, o relatório da CMS. Law GDPR Enforcement Tracker traz uma visão geral das multas e penalidades que as autoridades de proteção de dados dentro da União Europeia impuseram sob o Regulamento Geral de Proteção de Dados da UE (GDPR). Conforme demonstrado na Figura 2 a União Europeia já aplicou ao menos 5,5 bilhões de euros em multas às empresas desde 2018.
Figura 2 - Sanções aplicadas pela UE (Fonte: GDPR Enforcement Tracker. 2024)
LGPD inaugura um novo tempo no Brasil
No Brasil, o panorama dos avanços identificados após a promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD), que estabeleceu diretrizes para o tratamento de dados pessoais e, logo após, a criação da Autoridade Nacional de Proteção de Dados (ANPD), pode ser observado na Tabela 1, que apresenta as ações da “Agenda Regulatória da ANPD” e conjunto de regulamentos publicados.
| Iniciativa | Publicação |
|---|---|
| Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e Encarregado | 05/2021 |
| Cartilhas de segurança para internet | 06/2021 |
| Guia Como Proteger seus Dados Pessoais | 09/2021 |
| Guia Orientativo Segurança da Informação para Agentes de Tratamento de Pequeno Porte | 10/2021 |
| Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador | 10/2021 |
| Guia Orientativo aplicação da Lei Geral de Proteção de Dados Pessoais | 01/2022 |
| Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte | 01/2022 |
| Guia orientativo Tratamento de dados pessoais pelo Poder Público | 01/2022 |
| Guia orientativo Cookies e Proteção de Dados Pessoais | 10/2022 |
| Regulamento de Dosimetria e Aplicação de Sanções Administrativas | 02/2023 |
| Enunciado para hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes | 05/2023 |
| Guia Tratamento de dados pessoais para fins acadêmicos | 06/2023 |
| Modelo de Registro Simplificado de Operações com dados pessoais para Agentes de Tratamento de Pequeno Porte | 06/2023 |
| O Glossário de Proteção de Dados Pessoais e Privacidade | 06/2023 |
| Guia orientativo Hipóteses Legais de tratamento de dados pessoais: Legítimo Interesse | 02/2024 |
| Regulamento de Comunicação de Incidente de Segurança (RCIS) | 04/2024 |
| Regulamento que disciplina a atuação do Encarregado pelo Tratamento de Dados Pessoais | 07/2024 |
| Regulamento de Transferência Internacional de Dados | 08/2024 |
Tabela 1 - Ações da “Agenda Regulatória da ANPD” e conjunto de regulamentos publicados (Fonte: Balanço de 4 anos de ANPD, 2024)
Para além dos guias e regulamentos publicados, a Coordenação-Geral de Tecnologia e Pesquisa (CGTP) da Autoridade, instituiu uma série de publicações da ANPD (Radar Tecnológico) com objetivo de realizar abordagens de tecnologias emergentes que vão impactar ou já estejam impactando o cenário nacional e internacional da proteção de dados pessoais. Para cada tema, são abordados os conceitos principais, as potencialidades e as perspectivas de futuro, sempre com ênfase no contexto brasileiro. O primeiro volume abordou o tema de cidades inteligentes, o segundo, de biometria e reconhecimento facial e o terceiro volume aborda o tema de inteligência artificial generativa.
Um ponto importante a ser destacado são os incidentes envolvendo dados pessoais que possam trazer riscos ou danos relevantes aos titulares. Nesse sentido, a ANPD apresentou, no seu relatório de balanço de quatro anos, a distribuição dos tipos de incidentes reportados ao longo de 2023 e 2024, no qual pode ser observada a prevalência significativa dos casos relacionados a ransomware.
Observa-se também um número significativo de registros de várias categorias que podem estar relacionadas a possíveis fraudes cibernéticas, como exploração de vulnerabilidades, roubo de credenciais/engenharia social e acesso não autorizado.
Figura 3 – Tipos de Incidentes Acumulados de 01/2023 até 09/2024 (Fonte: ANPD, 2024)
No contexto fiscalizatório, a ANPD analisou e emitiu sanções em seis processos administrativos sancionadores face a agentes públicos e privados e atualmente está analisando outros três processos administrativos sancionadores. Embora não se configure uma sanção, a ANPD emitiu medida preventiva em que determinou a imediata suspensão, no Brasil, da vigência da nova política de privacidade da empresa Meta, que autorizava o uso de dados pessoais publicados em suas plataformas para fins de treinamento de sistemas de inteligência artificial (IA). Foi estabelecida multa diária de R$ 50 mil por descumprimento, sendo essa medida suspensa após o pronunciamento da empresa.
Por todos esses fatos reunidos ao longo deste artigo fica demonstrado o posicionamento do Brasil entre as nações que priorizam a privacidade e proteção de dados, fortalecendo sua imagem como um ambiente propício para inovação responsável e parcerias internacionais de sucesso.
PPD no Serpro
O Serpro vem implementando medidas de adequação à privacidade e proteção de dados que levaram a estatal ao patamar de referência no tema, o que foi reconhecido pela auditoria do Tribunal de Contas da União (TCU) com grau “aprimorado”, o mais alto nível de maturidade definido pela metodologia. Isso faz com que o Serpro integre o seleto grupo dos 3% das organizações públicas federais avaliadas com esse nível de adequação.
Essa conquista representa um marco significativo na jornada do Serpro de adequação à LGPD. Mais do que um simples cumprimento de requisitos legais, destaca-se a compreensão do valor que tal adequação à LGPD agrega aos produtos e serviços da empresa, além da excelência técnica e confiabilidade.
A consolidação dessa posição foi alcançada com um conjunto de iniciativas, como a criação do Guia de Desenvolvimento Confiável (GDC), que incorpora a proteção de dados pessoais by design desde a prospecção; e a criação da Rede Serpro de Privacidade e Proteção de Dados (RSPPD), com o objetivo de disseminar a PPD em todos os segmentos de atuação da empresa. Além disso, foram promovidas iniciativas voltadas para a sociedade, como: a realização de três edições da Semana Serpro de PPD; duas edições do Prêmio Serpro de PPD; e a criação e disseminação do SerDigi, jogo educativo voltado a crianças e adolescentes sobre a importância da PPD atendendo mais de 1.700 jovens e adultos em eventos no país.
Serpro atento aos riscos cibernéticos
A implementação de práticas robustas de proteção de dados minimiza os riscos de incidentes de segurança com dados pessoais que possam servir como ponto de partida para ataques. Da mesma forma, diante da evolução tecnológica e a crescente dependência de serviços digitais, a conscientização dos titulares sobre o valor e a importância de seus dados é um componente essencial para que não sejam alvos fáceis de fraudadores.
Segundo reportagem da Carta Capital, publicada em 16/12/2024, o ano passado registrou um aumento de 45% nos crimes digitais, crimes que devem crescer ainda mais em 2025. Relatórios de empresas como Kaspersky e Juniper Research indicam que os ataques cibernéticos devem se diversificar, podendo gerar perdas globais de até US$ 400 bilhões. Assim, diante de crescentes ameaças cibernéticas, a proteção de dados pessoais não é apenas uma obrigação legal, mas também uma estratégia imprescindível para reduzir os prejuízos causados pelas fraudes.
Essa realidade motivou a criação de uma estrutura organizacional de combate à fraude cibernética no Serpro, o que representa um marco na estruturação de ações voltadas à prevenção e ao enfrentamento de fraudes digitais, alinhando-se às necessidades do governo federal para garantir a integridade dos serviços públicos e a confiança da sociedade. Com uma abordagem integrada, transversal e alinhada às melhores práticas de mercado, a área se consolida como peça-chave para a inovação, segurança e resiliência digital.
Uma referência em PPD no Brasil
Diante de todos esses fatores expostos, o Serpro tem sido frequentemente procurado por órgãos da administração pública, visando compartilhar seu conhecimento especializado em proteção de dados por meio de consultorias.
Para além desses pontos, o Serpro tem desempenhado um papel ativo na construção das regulações e diretrizes elaboradas pela Autoridade Nacional de Proteção de Dados (ANPD), a partir de contribuições significativas em consultas públicas, que têm sido frequentemente acatadas, tais como: Regulamento de Comunicação de Incidente de Segurança (RCIS) e o estudo preliminar sobre o tratamento de dados pessoais de alto risco.
A trajetória de adequação do Serpro não só viabiliza todo seu arcabouço estrutural em busca da mais ampla conformidade, como extrapola suas fronteiras e se conecta com a sociedade fortalecendo a inclusão sociodigital, cumprindo o compromisso estratégico do Serpro em impulsionar práticas de ESG na atuação da empresa.
Referências
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, ANPD. Brasil. ANPD Balanço 4 Anos. Novembro, 2024. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/anpd-balanco-4-anos.pdf. Acesso em: 06/01/2025.
Banisar, David, National Comprehensive Data Protection/Privacy Laws and Bills 2024 Janeiro, 2024. Disponível em: https://ssrn.com/abstract=1951416.
Carta Capital. Reportagem: Quais são as tendências de fraudes e golpes digitais para 2025. Dezembro, 2024. Disponível em: https://www.cartacapital.com.br/do-micro-ao-macro/quais-sao-as-tendencias-de-fraudes-e-golpes-digitais-para-2025/. Acessado em 20/01/2025
CMS.Law. GDPR Enforcement Tracker. Dezembro, 2024. Disponível em: https://www.enforcementtracker.com/. Acesso em 07/01/2025.
_______________
Sobre os autores
Gláucio Monteiro Rosa é gerente do Departamento de Privacidade e Proteção de Dados Pessoais da Superintendência de Controles, Riscos e Conformidade do Serpro, tendo liderado equipe responsável pela implementação do Programa de Governança em Privacidade e Proteção de Dados da empresa. Graduado em Ciência da Computação e Direito pela UniCarioca, possui especialização em Redes de Computadores (PUC-RJ) e Segurança da Informação (UFRJ). Certificado DataPrivacy Brasil, DPO EXIN e Lead Implementer ABNT ISO 27701. Atuando há mais de 20 anos em diversas entidades da Administração Pública, sempre na área de Tecnologia (Desenvolvimento, Bancos de Dados, Auditoria, Gestão).
Vladimir Fagundes é analista na Gestão do Programa de Privacidade e Proteção de Dados e membro da Rede Acadêmica Serpro; Rede de Privacidade e da Rede de Inteligência Serpro, além de Instrutor do LGPD Educacional. Coordenador Científico na Associação Brasileira de Governança de Dados (GovDados). Professor Universitário em Gestão de TI, Planejamento Estratégico de TI, Arquitetura Corporativa. Doutor em Informática pela UFRJ e Mestre em Engenharia de Sistemas e Computação pela COPPE/UFRJ. Pós-graduação em Gestão Pública pela UNB e Segurança da Informação pela UNESA. Certificações: Lead Implementer da ABNT NBR ISO/IEC 27701:2019, Encarregado de Dados e Gestão de Dados.
Cinthya Seko de Oliveira é gerente de divisão na Gestão do Programa de Privacidade e Proteção de Dados e membro da Rede Acadêmica Serpro. Mestre em Ciência da Computação com ênfase em Engenharia de Software e pós-graduada em Análise de Sistemas pela Universidade Federal do Pará, com extensão realizada no centro de treinamento de Okinawa, no Japão. MBA em Data Protection Officer (DPO) pela Instituição de Ensino Superior de Brasília. Certificada Exin em Data Protection Officer (DPO), Privacidade e Proteção de Dados pela Data Privacy e em Gerenciamento de Projetos pelo PMI.
Leandro Oliveira Campos é analista no Serpro, especialista em Segurança da Informação, Privacidade e Proteção de Dados. Profissional com mais de 20 anos de experiência, possui graduação em TI e pós-graduação em Gestão Pública. Certificações: Lead Implementer ABNT NBR ISO/IEC 27701; Lead Auditor BS ISO/IEC 27001; IT Disaster Recovery Analyst (ITDRA); Encarregado de Dados e Gestor de Dados (Serpro/Datashield) e Security, Compliance, and Identity Fundamentals (Microsoft). Membro da Comissão de Estudo de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade da ABNT (CE-021:004.027). No Serpro, atua principalmente na gestão de incidentes com violação de dados pessoais, na gestão de riscos e conformidade à privacidade e proteção de dados pessoais e na elaboração e revisão de normativos.
Débora Sirotheau é Gerente do Departamento de Combate à Fraude Cibernética (SIDFC/SUPSI/DIOPE). Analista de TI com pós-graduação em redes de computadores pela UFPA. Advogada pós-graduada em Privacidade e Proteção de Dados Pessoais pela Faculdade de Direito da Universidade de Lisboa e pela Escola Superior do Ministério Público do RS. Certificada CIPM E CDPO/BR pela IAPP. Certificada NIST CSF 2.0 e NIST RMF. Conselheira titular do CNPD/ANPD. Vice-Presidente da Comissão Especial de Proteção de Dados da OAB Nacional. Palestrante. Professora convidada de proteção de dados em cursos de pós-graduação.
Ieda Maria de Souza lidera a Divisão de Governança para Combate à Fraude Cibernética no Serpro. É graduada Em Administração de Redes; pós-graduada em Segurança da Informação e Governança de Tecnologia da Informação pela Universidade do Sul de Santa Catarina.