A Lei Geral de Proteção de Dados (LGPD) determina que em caso de incidente de segurança que possa acarretar em risco ou dano relevante aos titulares deve ser feita uma comunicação para a Autoridade Nacional de Proteção de Dados (ANPD) e ao titular que for prejudicado.
O primeiro ponto relevante é entender quem possui a responsabilidade de realizar essa comunicação em caso de incidente.
Para isso, vejamos o artigo 48 da legislação:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Portanto, fica expresso que a responsabilidade de comunicar a ocorrência de um incidente de segurança é do controlador, ficando tanto o operador quanto o encarregado de dados isento dessa participação.
Um detalhe importante e estratégico dessa análise é de que não basta que seja consumado um incidente de segurança para ser feita esta comunicação, mas que ela possa acarretar em risco ou em dano relevante aos titulares. Assim, não se caracterizando o risco ou o dano relevante a comunicação deixa de ser obrigatória.
É importante ter essa observação porque nem sempre um incidente terá um impacto relevante para o titular, ao passo em que a comunicação pode trazer um impacto profundo e negativo para a empresa. Isso porque um incidente de segurança não representa apenas um vazamento de dados pessoais, mas pode ser um acesso indevido, um compartilhamento com pessoas não autorizadas, um rompimento nas informações etc.
Além disso, para que a comunicação seja feita de forma correta e adequada algumas informações são imprescindíveis, pois devem constar neste documento. Dentre as informações mínimas que devem estar contidas temos:
A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
Os riscos relacionados ao incidente (o seu impacto na prática);
As medidas que foram ou serão tomadas para mitigar ou reverter os prejuízos causados.
Em manifestação recente a ANPD informou que o prazo razoável para que a comunicação seja feita é de 02 (dois) dias, havendo algum atraso nessa medida ela deve ser justificada.
Outro ponto importante a ser ressaltado é que a comunicação feita para a Autoridade Nacional não é necessariamente a mesma da que é feita para um titular de dados. Isso porque a ANPD exige algumas formalidades como os dados mencionados acima, mas o titular não tem qualquer conhecimento acerca desses aspectos legais, tampouco das terminologias e especificações técnicas de tecnologia da informação ou de segurança da informação.
Para isso, é necessário que a comunicação seja feita de forma específica e adaptável para o receptor. Sendo a Autoridade Nacional é necessário conter todos esses requisitos legais, as especificações técnicas de tecnologia que foram adotadas, as medidas mitigatórias (sejam elas uso de criptografia, anonimização, pseudoanonimização etc) e outros documentos que se julgarem necessários como um Relatório de Impacto (RIPD).
Já se tratando de um titular de dados é muito mais coerente que a comunicação seja feita de forma simples, razoável e que explique de forma objetiva o que aconteceu e o impacto daquilo na prática, além das medidas que foram ou serão adotadas pela empresa para minimizar todos os prejuízos para o titular.
Portanto, um mesmo documento de comunicação de incidente de segurança não deve servir para ambos os casos, visto que a finalidade não é a mesma – a Autoridade requer a comunicação por ser o órgão regulador de proteção de dados no país e para análise de possíveis sanções, por outro lado o titular recebe a comunicação como mecanismo de transparência, boa-fé e boa prática.
A respeito da análise que será feita posteriormente pela ANPD ela tem como objetivo verificar a gravidade do incidente de segurança, podendo ainda determinar que o controlador tome outras atitudes como salvaguardas aos direitos dos titulares, como solicitar a ampla divulgação do ocorrido e medidas para reverter ou mitigar os efeitos do incidente.
Também será adotado um juízo de gravidade, o qual irá apurar a eventual comprovação de que foram adotadas medidas técnicas adequadas para tornar os dados pessoais ininteligíveis (técnica de anonimização, por exemplo) como forma de evitar que terceiros não autorizados acessem os dados.
A ocorrência de um incidente de segurança não é algo incomum e raro dentro das corporações, principalmente naquelas que possuem um alto fluxo de coleta de dados, portanto é algo no mínimo esperado, tendo em vista que nenhuma tecnologia ou segurança da informação consegue blindar totalmente um banco de dados. Da mesma forma que um programa de adequação à LGPD não pode certificar ou garantir que a empresa nunca venha a sofrer esse tipo de situação.
Na prática da tecnologia da informação e dos dados é muito comum que o incidente de segurança não seja encarado como algo impossível, mas que se espere que ele ocorra. Por isso, faz parte do cotidiano perguntar quando ele vai acontecer e não se ele pode acontecer.
Exatamente por nenhuma empresa ter essa garantia total e completa da ocorrência de um incidente de segurança, é que boas práticas e governanças devem ser adotadas, tendo em vista que uma empresa preparada para lidar com este incidente é totalmente diferente de uma empresa que se encontra despreparada, sem qualquer proteção ou amparo (tanto jurídico quanto tecnológico) e que banaliza esses assuntos.
A respeito disso, a própria LGPD elenca em seu art. 50 que o controlador e o operador, no âmbito de suas competências, podem elaborar individualmente ou por meio de suas associações, regras de boas práticas e de governança.
Logo em seguida, no §2º do mesmo artigo, através da alínea g, estabelece que um programa de governança em privacidade deva conter no mínimo, entre outros requisitos, planos de resposta a incidentes e remediação.
Com isso, fica nítido que uma empresa que implemente práticas de governança com foco em privacidade e proteção de dados além de fortalecer o seu programa de adequação, também vai estar fortalecida e preparada para lidar com possíveis incidentes de segurança, não importando a dimensão do seu impacto.
Isso porque dentro do programa de governança, haverá um documento próprio que tratará especificamente desta hipótese, levantando todos os possíveis procedimentos que podem e devem ser tomados na prática após a sua ocorrência, modelos para agilizar a comunicação, mecanismos que devem ser adotados como medidas mitigatórias, quem da equipe deve ser contatado para aquela situação etc.
Assim, a questão principal de um incidente de segurança e a sua comunicação não é apenas realizar e enviar este documento, mas primeiro de fortalecer a corporação de forma a se sentir cada vez mais preparada a lidar com esse tipo de acontecimento, bem como de entender quais medidas devem ser adotadas, tanto para remediar um prejuízo aos direitos dos titulares, impedir um impacto negativo para a empresa e inclusive evitar uma aplicação de sanção pelo órgão regulador.
A conscientização é sempre o primeiro passo para a empresa começar a lidar com a implementação da LGPD, bem como com a questão do incidente de segurança e da elaboração de um comunicado.
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments