Vazamento de dados: o que fazer quando acontece com uma PME? (Getty Images/Getty Images)
Da Redação
Publicado em 23 de junho de 2021 às 15h30.
Última atualização em 25 de junho de 2021 às 11h01.
Por Camila Kojima, sócia do escritório Filhorini Advogados Associados
Qualquer violação à segurança de dados pessoais, seja proposital, seja acidental, deve ser vista como um sinal de alerta para as empresas agirem imediatamente, pois pode ocasionar o vazamento desses dados e sua divulgação pública, com potencial risco de causar danos aos titulares.
A Lei Geral de Proteção de Dados Pessoais (LGPD) não traz uma definição sobre o que é vazamento de dados pessoais ou incidente de segurança. Na lei europeia equivalente à LGPD, a General Data Protection Regulation (GDPR), existe o conceito de violação de dados pessoais, que é definida como “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Ainda, na página do site da Autoridade Nacional de Proteção de Dados (ANPD) que trata sobre “comunicação de incidentes de segurança”, o incidente de segurança é definido como “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
Apesar de a LGPD não trazer um conceito de incidente de segurança ou vazamento de dados, ela estabelece a obrigatoriedade na adoção de medidas protetivas relacionadas à segurança no tratamento de dados pessoais, quando determina em seu artigo 46 que: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
A lei estabelece ainda que, tanto o controlador quanto o operador poderão responder por danos decorrentes da violação da segurança dos dados, ao deixar de adotar as medidas protetivas.
Além disso, a lei menciona que os sistemas utilizados para o tratamento de dados pessoais devem atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta lei e às demais normas regulamentares.
Assim, muito embora a lei não obrigue, ela incentiva a adoção de um programa de governança em privacidade, contendo planos de resposta a incidentes e remediação, uma vez que a existência de política de boas práticas e governança é um dos fatores que será levado em consideração pela ANPD para a aplicação de eventuais sanções.
Existindo ou não políticas internas, é fato que toda empresa, independentemente de seu tamanho, está sujeita a incidentes de segurança e é importante saber as principais medidas que devem ser tomadas para minimizar os riscos envolvidos.
Nesse sentido, em caso de incidente de segurança que possa acarretar risco ou danos aos titulares, a empresa deverá primeiramente comunicar ao encarregado (DPO – Data Protection Officer), ou seja, a pessoa designada pela empresa e responsável pelo canal de comunicação entre empresa, ANPD e titulares de dados.
Deverá ainda comunicar à ANPD e ao titular de dados em um prazo razoável. Apesar de não existir ainda regulamentação do que seria o “prazo razoável”, a orientação é que a comunicação seja feita o mais rápido possível, observando o parâmetro de 2 dias úteis, a contar do conhecimento do incidente.
A ANPD disponibiliza em seu site detalhes sobre o formato e as informações que devem ser enviadas, esclarecendo que a comunicação ao órgão deve ser feita via formulário eletrônico fornecido no site, observadas as demais instruções, que podem ser conferidas no link: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico
Dentre os dados, são solicitados dados para identificação: de contato da empresa responsável pelo tratamento, do encarregado e indicação se a notificação é completa ou parcial.
Sobre o incidente de segurança com os dados pessoais, são requisitadas as seguintes informações:
Após análise da gravidade do incidente, a ANPD poderá ainda solicitar à empresa medidas adicionais, como a ampla divulgação do fato em meios de comunicação, e medidas para reverter ou mitigar os efeitos do incidente.
Portanto, é muito importante que as empresas, inclusive pequenas e médias, mantenham um efetivo sistema de gestão de privacidade e segurança das informações, com o objetivo de reduzir os riscos relacionados a incidentes de segurança, assim como os danos aos titulares dos dados e ao próprio controlador (empresa). E, caso ocorra um incidente de segurança, a empresa deve agir o mais rápido possível, conforme o disposto na legislação vigente e orientações da ANPD.
Tem dúvidas sobre como administrar a sua pequena empresa? Assine a EXAME e tenha acesso a conteúdos semanais sobre o assunto