Publicado na Exame, 23/06/21.

Por Camila Kojima, sócia do escritório Filhorini Advogados Associados

Qualquer violação à segurança de dados pessoais, seja proposital ou acidental, deve ser vista como um sinal de alerta para as empresas agirem imediatamente, pois pode ocasionar o vazamento desses dados e a sua divulgação pública, com potencial risco de causar danos aos titulares.

A Lei Geral de Proteção de Dados Pessoais (LGPD) não traz uma definição sobre o que é vazamento de dados pessoais ou incidente de segurança. Na lei europeia equivalente à LGPD, a General Data Protection Regulation (GDPR), existe o conceito de violação de dados pessoais, que é definida como “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.

Ainda, na página do site da Autoridade Nacional de Proteção de Dados (ANPD) que trata sobre “comunicação de incidentes de segurança”, o incidente de segurança é definido como “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.

Apesar de a LGPD não trazer um conceito de incidente de segurança ou vazamento de dados, ela estabelece a obrigatoriedade na adoção de medidas protetivas relacionadas à segurança no tratamento de dados pessoais, quando determina em seu artigo 46 que: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

A lei estabelece ainda que, tanto o controlador, quanto o operador, poderão responder por danos decorrentes da violação da segurança dos dados, ao deixar de adotar as medidas protetivas.

Além disso, a lei menciona que os sistemas utilizados para o tratamento de dados pessoais devem atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Assim, muito embora a lei não obrigue, ela incentiva a adoção de um programa de governança em privacidade, contendo planos de resposta a incidentes e remediação, uma vez que a existência de política de boas práticas e governança é um dos fatores que será levado em consideração pela ANPD para a aplicação de eventuais sanções.

Existindo ou não políticas internas, é fato que toda empresa, independentemente do seu tamanho, está sujeita à incidente de segurança e é importante saber as principais medidas que devem ser tomadas para minimizar os riscos envolvidos.

Nesse sentido, em caso de incidente de segurança que possa acarretar risco ou danos aos titulares, a empresa deverá primeiramente comunicar ao encarregado (DPO – Data Protection Officer), ou seja, a pessoa designada pela empresa e responsável pelo canal de comunicação entre empresa, ANDP e titulares de dados.

Deverá ainda comunicar à ANPD e ao titular de dados em um prazo razoável. Apesar de não existir ainda regulamentação do que seria o “prazo razoável”, a orientação é que a comunicação seja feita o mais rápido possível, observando o parâmetro de 2 dias úteis, a contar do conhecimento do incidente.

A ANDP disponibiliza em seu site detalhes sobre o formato e as informações que devem ser enviadas, esclarecendo que a comunicação à ANPD deve ser feita via formulário eletrônico fornecido no site, observadas as demais instruções, que podem ser conferidas no link: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico

Dentre os dados, são solicitados dados para identificação: de contato da empresa responsável pelo tratamento, do encarregado e indicação se a notificação é completa ou parcial.

Sobre o incidente de segurança com os dados pessoais, são requisitadas as seguintes informações:

  • Data e hora da detecção;
  • Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros;
  • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
  • Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;
  • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
  • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
  • Resumo das medidas implementadas até o momento para controlar os possíveis danos;
  • Possíveis problemas de natureza transfronteiriça;
  • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Após análise da gravidade do incidente, a ANPD poderá ainda solicitar à empresa medidas adicionais, como ampla divulgação do fato em meios de comunicação, e medidas para reverter ou mitigar os efeitos do incidente.

Portanto, é muito importante que as empresas, inclusive pequenas e médias, mantenham um efetivo sistema de gestão de privacidade e segurança das informações, com o objetivo de reduzir os riscos relacionados a incidentes de segurança, assim como os danos aos titulares dos dados e ao próprio controlador (empresa). E, caso ocorra um incidente de segurança, a empresa deve agir o mais rápido possível, conforme o disposto na legislação vigente e orientações da ANDP.