Por Camila Kojima, sócia do escritório Filhorini Advogados Associados
Qualquer violação à segurança de dados pessoais, seja proposital, seja acidental, deve ser vista como um sinal de alerta para as empresas agirem imediatamente, pois pode ocasionar o vazamento desses dados e sua divulgação pública, com potencial riscoQuantificação e qualificação da incerteza, tanto no que diz respeito a perdas quanto aos ganhos, com relação aos acontecimentos planejados. É um desvio em relação ao esperado. É uma incerteza... de causar danos aos titulares.
A Lei Geral de Proteção de Dados Pessoais (LGPDLei Geral de Proteção de Dados (Lei nº 12.709/2018): Lei Brasileira que visa garantir a proteção e a privacidade de dados pessoais. Equivalente a GDPR que é o regulamento europeu...) não traz uma definição sobre o que é vazamento de dados pessoais ou incidente de segurança. Na lei europeia equivalente à LGPD, a General Data Protection RegulationRegulamento Geral para Proteção de Dados, estabelecido na União Europeia, responsável por regular a obtenção e uso de dados pessoais por empresas e organizações. (GDPR), existe o conceito de violação de dados pessoais, que é definida como “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Ainda, na página do site da Autoridade Nacional de Proteção de Dados (ANPDAutoridade Nacional de Proteção de Dados, órgão da administração pública cujas atribuições são relacionadas à proteção e privacidade de dados pessoais.) que trata sobre “comunicação de incidentes de segurança”, o incidente de segurança é definido como “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
Apesar de a LGPD não trazer um conceito de incidente de segurança ou vazamento de dados, ela estabelece a obrigatoriedade na adoção de medidas protetivas relacionadas à segurança no tratamento de dados pessoais, quando determina em seu artigo 46 que: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
A lei estabelece ainda que, tanto o controlador quanto o operador poderão responder por danos decorrentes da violação da segurança dos dados, ao deixar de adotar as medidas protetivas.
Além disso, a lei menciona que os sistemas utilizados para o tratamento de dados pessoais devem atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta lei e às demais normas regulamentares.
Assim, muito embora a lei não obrigue, ela incentiva a adoção de um programa de governança em privacidade, contendo planos de resposta a incidentes e remediação, uma vez que a existência de política de boas práticas e governança é um dos fatores que será levado em consideração pela ANPD para a aplicação de eventuais sanções.
Existindo ou não políticas internas, é fato que toda empresa, independentemente de seu tamanho, está sujeita a incidentes de segurança e é importante saber as principais medidas que devem ser tomadas para minimizar os riscos envolvidos.
Nesse sentido, em caso de incidente de segurança que possa acarretar risco ou danos aos titulares, a empresa deverá primeiramente comunicar ao encarregado (DPO – Data Protection OfficerEncarregado de dados. É o profissional responsável pela proteção de dados dentro da empresa, garantindo a segurança das informações, tanto dos clientes quanto da própria organização....), ou seja, a pessoa designada pela empresa e responsável pelo canal de comunicação entre empresa, ANPD e titulares de dados.
Deverá ainda comunicar à ANPD e ao titular de dados em um prazo razoável. Apesar de não existir ainda regulamentação do que seria o “prazo razoável”, a orientação é que a comunicação seja feita o mais rápido possível, observando o parâmetro de 2 dias úteis, a contar do conhecimento do incidente.
A ANPD disponibiliza em seu site detalhes sobre o formato e as informações que devem ser enviadas, esclarecendo que a comunicação ao órgão deve ser feita via formulário eletrônico fornecido no site, observadas as demais instruções, que podem ser conferidas no link: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico
Dentre os dados, são solicitados dados para identificação: de contato da empresa responsável pelo tratamento, do encarregado e indicação se a notificação é completa ou parcial.
Sobre o incidente de segurança com os dados pessoais, são requisitadas as seguintes informações:
- Data e hora da detecção;
- Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros;
- Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
- Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;
- Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
- Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
- Resumo das medidas implementadas até o momento para controlar os possíveis danos;
- Possíveis problemas de natureza transfronteiriça;
- Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Após análise da gravidade do incidente, a ANPD poderá ainda solicitar à empresa medidas adicionais, como a ampla divulgação do fato em meios de comunicação, e medidas para reverter ou mitigar os efeitos do incidente.
Portanto, é muito importante que as empresas, inclusive pequenas e médias, mantenham um efetivo sistema de gestão de privacidade e segurança das informações, com o objetivo de reduzir os riscos relacionados a incidentes de segurança, assim como os danos aos titulares dos dados e ao próprio controlador (empresa). E, caso ocorra um incidente de segurança, a empresa deve agir o mais rápido possível, conforme o disposto na legislação vigente e orientações da ANPD.
Notícia publicada originalmente em Exame.