Com a entrada em vigor da LGPD (Lei nº 13.709/18) as empresas passaram a se reestruturar para realizar uma adequação em privacidade e proteção de dados que atendesse todas as diretrizes elencadas na legislação.
A LGPD passa a ser a lei que regula o tratamento de dados pessoais no Brasil, alguns termos e conceitos devem ficar bem claros para que a adequação seja feita corretamente, bem como para que o empreendedor entenda de fato as mudanças e os impactos que isso traz para a prática.
Uma terminologia utilizada pela lei e que se mostra extremamente relevante em proteção de dados é sobre os incidentes de segurança.
A LGPD dispõe em seu art. 46 que os agentes de tratamento de dados (controlador e operador) devem adotar medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, de situações acidentais ou ilícitas.
Mas o que vem a ser considerado um incidente de segurança pela LGPD?
Segundo a ANPD (Autoridade Nacional de Proteção de Dados), pode ser entendido como um incidente de segurança qualquer operação de tratamento de dados que seja realizada sem os meios técnicos necessários, de forma inadequada ou ilícita.
O incidente pode acarretar em acesso indevido, alteração, destruição, perda ou violação na segurança dos dados pessoais, não sendo obrigatório que ocorra um vazamento de fato - o que também é uma característica do incidente, mas não uma exigência para a sua consumação.
Já o Dicionário Online de Português conceitua a palavra incidente como um “episódio inesperado ou situação que altera a ordem normal das coisas”.
No art. 48 da LGPD está expresso que o controlador deve comunicar a ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Nisso, podemos elencar três pontos cruciais sobre a comunicação do incidente:
A obrigação de realizar a comunicação é do controlador, não há sequer menção ao operador;
A comunicação deve ser tanto para a Autoridade Nacional quanto para o titular que teve seu dado afetado;
A comunicação deve ser feita mesmo que o incidente acarrete apenas um risco.
Sobre a comunicação do incidente é disposto na própria legislação que deverá ser feita em prazo razoável, a critério da ANPD e deverá conter informações mínimas.
Em nota a ANPD se manifestou alegando que o prazo considerado razoável para que a comunicação seja feita é de 2 (dois) dias, a contar da data do conhecimento do incidente. O prazo é curto exatamente por estarmos diante de uma situação emergente e extremamente delicada, afinal estamos lidando com dados pessoais que podem ser inclusive sensíveis.
Nesta comunicação a LGPD elenca em seu art. 48, §1° as seguintes informações como mínimas/básicas:
a descrição da natureza dos dados que foram afetados;
as informações sobre os titulares envolvidos;
a indicação das medidas técnicas e de segurança que foram adotadas;
os riscos relacionados ao incidente;
se a comunicação não ocorreu em prazo razoável o motivo da demora;
as medidas que foram ou serão adotadas para mitigar ou reverter os prejuízos.
Realizada essa comunicação informando o incidente de segurança, a ANPD irá apurar a sua gravidade e analisar quais medidas mitigatórias de riscos foram adotadas como forma de minimizar esse impacto com os dados afetados, desde uma comunicação ampla até a transformação dos dados afetados em dados ininteligíveis para que ninguém consiga acessá-los.
Após essa análise a ANPD irá aplicar as sanções, a depender do caso - principalmente se tivermos diante de um fato culposo ou doloso por parte do controlador. Além de levarem em consideração tudo o que a empresa promoveu antes do incidente como prevenção, que é o que realmente importa na prática.
Como forma de prevenir que esses incidentes ocorram a própria legislação junto a ANPD recomendam que as empresas adotem padrões de boas práticas e de governança.
Para isso é interessante que a empresa invista na criação de um setor de compliance de dados para elaborar documentos essenciais para essa reestruturação focada na LGPD, bem como para que se instale intrinsicamente uma cultura corporativa baseada na ética e em boas condutas.
A própria lei traz essa disposição em seu art. 50 ao esclarecer que tanto o controlador quanto o operador podem formular regras de boas práticas e governança que estabeleçam condições de: organização, regime de funcionamento, procedimentos internos, normas de segurança, padrões técnicos, ações educativas, mecanismos internos de supervisão e de mitigação de riscos etc.
Quando a proteção de dados é introduzida como um compromisso da própria empresa a ocorrência de um incidente de segurança passa a ser mais razoável de lidar, tanto porque já temos uma equipe que sabe o que deve ser feito, como também porque temos uma empresa preparada para lidar com esse tipo de desafio.
Por óbvio nenhum programa de adequação à LGPD pode garantir que nunca aquela empresa estará sujeita a um incidente de segurança, mas se todos os setores estiverem realmente comprometidos com a proteção de dados é provável que o incidente não impacte na empresa de forma brusca e severa, como acontece na maioria dos casos.
Além disso, com um programa de compliance de dados bem estruturado é possível que os prejuízos causados por um incidente de segurança sejam revertidos ou minimizados consideravelmente, tanto para o titular quanto para a empresa, tendo em vista que dois pilares do compliance são inclusive a gestão de riscos e a gestão de crise.
Embora a adequação a LGPD não dependa exclusivamente de um advogado para ser feita, é imprescindível que o empreendedor interessado em implementar um programa de compliance de dados busque maiores informações com um advogado que tenha expertise na área, principalmente porque o compliance envolve estar em conformidade com todas as legislações que impactem o empreendimento, como também devida a complexidade do tema.
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤. Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments