A proteção contra os incidentes de vazamento de dados

Tatiana Campello, Vanessa Ferro e Priscylla Castelar de Novaes de Chiara

08 Fevereiro 2018 | 04h00

O Ministério Público do Distrito Federal e Territórios (MPDFT), no dia 25 de janeiro desse ano, por intermédio da sua Comissão de Proteção dos Dados Pessoais, recomendou a um provedor de aplicação no setor de consumo de varejo de artigos esportivos que comunicasse aos seus clientes afetados o vazamento de alguns de seus dados pessoais. Além disso, o MPDFT também recomendou que o provedor não faça qualquer pagamento ao suspeito responsável pelo incidente.

A Comissão do MPDFT foi instituída recentemente para promover a proteção dos dados pessoais, sugerir diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e estimular a adoção de padrões para serviços e produtos que facilitem o controle dos titulares sobre seus dados pessoais. Além disso, compete à Comissão, dentre outras funções, sugerir a adoção de cláusulas contratuais padrão (standard contractual clauses, model clauses) e normas corporativas globais (binding corporate rules – BCRs) para fins de transferência internacional de dados, receber comunicações sobre ocorrências de incidentes de segurança, e sugerir, ao responsável pelo tratamento dos dados, a adoção de providências, tais como: pronta comunicação aos titulares, ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

No âmbito internacional, uma série de incidentes de vazamento de dados vem sendo noticiados na imprensa envolvendo provedores de aplicação considerados importantes players nos segmentos de transporte privado, entretenimento e esportes. Um dos mais recentes casos envolve um aplicativo utilizado por corredores para monitorar os recursos percorridos, com base em dados de GPS. O vazamento dos dados pessoais dos usuários dessa aplicação resultou na suspeita de divulgação de supostas bases militares secretas americanas em vários países, inclusive localizadas em zonas de conflito, pois os soldados usam essa aplicação durante a realização de exercícios.

Em alguns dos casos divulgados fora do Brasil, as empresas envolvidas foram obrigadas a noticiar o vazamento de dados, por força de legislação estipulando essa obrigação. Por exemplo, o texto da Diretiva Europeia de Proteção de Dados (“General Data Protection Regulation” ou “GDPR”), que entrará em vigor em maio desse ano, prevê essa obrigação. A legislação brasileira, por sua vez, ainda não exige que os provedores de aplicação comuniquem o vazamento de dados aos seus usuários e ao público em geral. Por esse motivo, o Ministério Público pode apenas recomendar, mas não obrigar os provedores a comunicar eventual vazamento de dados.

Assim, de um modo geral, a decisão quanto à comunicação de vazamento de dados ou qualquer incidente de segurança da informação, aos consumidores e/ou às autoridades brasileiras, cabe aos empresários, que devem avaliar o impacto dessa notícia em seus negócios.

O Brasil ainda não aprovou uma lei geral sobre proteção de dados pessoais (existem apenas projetos de lei em tramitação no Congresso Nacional), mas o Marco Civil da Internet (Lei nº 12.965/14) e seu regulamento (Decreto nº 8.771/2016), a Constituição Federal, o Código Civil, juntamente com outras leis e regulamentos que tratam sobre relações específicas, como o Código de Defesa do Consumidor, estabelecem princípios gerais sobre proteção de dados pessoais e privacidade.

Nesse sentido, os empresários devem estar atentos aos deveres estabelecidos na legislação em vigor no Brasil com relação às medidas de segurança que devem ser adotadas para proteger os dados pessoais e a privacidade de seus clientes. O Regulamento do Marco Civil estabelece, especificamente, padrões mínimos de segurança e sigilo a serem adotados pelos provedores de aplicação com relação aos registros, dados pessoais e comunicações privadas de seus usuários. Por exemplo, os provedores devem adotar as seguintes medidas de segurança, dentre outras:

• Adotar controle estrito sobre o acesso aos dados, definindo a responsabilidades dos seus colaborares que terão possibilidade de acesso a dados pessoais;

• Usar mecanismos de autenticação de acesso aos registros, como sistemas de autenticação dupla;

• Manter inventário de acesso aos registros de acesso (data e hora de acesso e o IP utilizado);

• Usar soluções de gerenciamento de registros através de técnicas que garantam a inviolabilidade dos dados, como criptografia ou medidas de proteção equivalentes; e

• Manter os registros de acesso para aplicações da internet em um ambiente confidencial, controlado e de segurança, por no mínimo 6 meses

Ainda que inexista a obrigação de comunicar vazamento de dados no Brasil, os empresários devem estar atentos ao efetivo cumprimento dos seus termos de uso e políticas de privacidade, além da evolução da legislação sobre o tema, considerando que há projetos de lei sobre proteção de dados pessoais ainda em discussão, conforme mencionado.

*Tatiana Campello – Sócia
Propriedade Intelectual e Direito Digital e Tecnologia da Informação, do Demarest Advogados

Vanessa Ferro – Advogada
Propriedade Intelectual e Direito Digital e Tecnologia da Informação, do Demarest Advogados

Priscylla Castelar de Novaes de Chiara – Advogada
Contencioso e Arbitragem, do Demarest Advogados

Mais conteúdo sobre:

Artigo