Em 1972, o economista vencedor do prêmio Nobel Kenneth Arrow afirmou que praticamente todas as transações comerciais estão baseadas em um elemento de confiança, razão pela qual a ausência dela seria das principais responsáveis por uma boa parcela do atraso econômico mundial. Significa dizer que, num raciocínio bastante simplista, um maior nível de confiança oportuniza valorização econômica, e a maior prova disso é que o ranking das marcas mais confiáveis do mundo em 2021, elaborado pela empresa de tecnologia Morning Consult, é composto por algumas das empresas mais valiosas do planeta.
E, não obstante constituir um dos pilares de qualquer empresa, a confiança é um ativo extremamente volátil e que tende a se depreciar rapidamente, especialmente ante a eventos aparentemente imprevisíveis, como os incidentes envolvendo dados pessoais. Um estudo realizado pela Centrify ilustra bem o afirmado: segundo consta do relatório, cerca de 65% dos consumidores entrevistados afirmaram ter perdido a confiança na empresa após serem vítimas de um vazamento de dados.
Longe de afetar apenas a credibilidade junto aos consumidores, um incidente de violação de dados pessoais igualmente afeta a confiança do investidor e a reputação organizacional como um todo, tanto que as companhias costumam esperar uma queda de até 9% em seu faturamento anual global como resultado de uma crise de privacidade de dados pessoais (segundo estudo conduzido pela FTI Consulting): daí a importância em investir em um programa de governança em privacidade bem estruturado e, mais especificamente, em implementar um bom plano para incidentes de violação de dados.
Embora ainda majoritariamente restrito à estrutura das grandes organizações, o plano para incidentes de violação de dados é recomendável para organizações de qualquer tamanho, por ao menos duas principais razões: a primeira reside na própria ideia do que é uma violação de dados; a segunda, na função de um plano para incidentes de violação de dados.
É preciso desvincular-se da ideia de que uma violação de dados pressupõe um ataque externo ou o uso de tecnologias sofisticadas: em verdade, o simples envio de um e-mail para um terceiro, por engano, contendo uma relação de nomes e números telefônicos, o descarte não autorizado dos dados bancários e histórico de compras de uma loja por um empregado em período de aviso prévio ou, ainda, o extravio de um notebook corporativo em que se achavam armazenados as fichas funcionais dos funcionários de uma empresa são exemplos de violações de dados, e nenhum deles envolve hackers, ataques ou uso de tecnologias de ponta.
A esse respeito, ainda que não traga uma definição explícita, a Lei Geral de Proteção de Dados Pessoais indica o que representa uma violação de dados pessoais ao definir o princípio da segurança e, mais adiante, ao tratar da segurança e do sigilo de dados, isto é, situações nas quais se verificam acessos não autorizados ou destruição, perda, alteração, comunicação ou difusão de dados pessoais, de forma acidental ou ilícita.
Com isso, é fácil perceber a necessidade de instrumentos que permitam o enfrentamento adequado a um incidente de violação de dados pessoais. É aí que entra em cena o plano para incidentes: de forma bastante simplista, a sua função é definir como a organização responderá a uma violação de dados, indicando o que deve ser feito e por quem. Isto é, o plano para incidentes de violação de dados responde a seguinte pergunta: o que a organização deve fazer agora que a violação de dados já ocorreu?
Um bom plano para incidentes de violação de dados minimamente se caracteriza por ser: i) efetivo; ii) comunicado; iii) testado apropriadamente e iv) atualizado periodicamente.
O primeiro passo é, portanto, garantir que o plano para incidentes de violações de dados seja efetivo, o que, em verdade, equivale a assegurar que ele seja, ao menos, duplamente adequado: primeiramente, a própria organização - e isso exige o conhecimento do cenário de tratamento de dados pessoais (por exemplo, os tipos de dados e de tratamento realizados, método e forma de coleta e o papel da organização) -, da estrutura de privacidade e segurança da informação e, por fim, da estrutura logística e de proficiência da organização; secundariamente, o cenário regulatório a que a organização está sujeita, e os requisitos para notificação da autoridade nacional estabelecidos pelo Regulamento Europeu (se aplicável) e pela Lei Geral de Proteção de Dados Pessoais.
Contudo, nada adianta a existência de um plano para incidentes de violações de dados se não lhe é dada a devida publicidade perante aqueles que compõem a organização, o que envolve a devida comunicação ao time de resposta - que, idealmente, deve ser multidisciplinar, de forma abranger as diversas áreas da organização como Recursos Humanos, TI, Compliance, Jurídico, apenas para citar algumas - e às demais áreas e seus respectivos integrantes.
Além disso, é recomendável que o plano para incidentes de violações de dados seja adequadamente testado através de simulações ou treinamentos. A ideia é garantir que o time de resposta seja capaz de se comunicar adequadamente e executar eficientemente as tarefas que lhes foram atribuídas. Isso é especialmente relevante quando considerado que, dentre as ações a serem executadas, acham-se a identificação, a avaliação e, em sendo o caso, o escalonamento, a adoção de medidas imediatas de mitigação de danos e, também, a comunicação aos titulares e a Autoridade Nacional de Proteção de Dados.
Por fim, o plano para incidentes de violações de dados deve ser atualizado de forma periódica, especialmente para comportar o aprendizado adquirido a partir dos treinamentos e experiências com violações de dados ocorridas no pretérito.
O certo é que, independentemente do tamanho ou da complexidade da organização, o plano para incidentes de violações de dados deve garantir a minimização do impacto ao direito à privacidade e de segurança dos dados pessoais do titular, e auxiliar na rápida recuperação da organização.
Em síntese, quando se trata de um plano para incidentes de violações de dados, dois são os pontos que merecem total observação: conhecimento efetivo da organização e uma abordagem centrada no titular de dados pessoais.
*Loueine Barros e Gabriel Passos são advogados de Direito Digital no Serur Advogados
