Diante dos diversos ataques cibernéticos que o mercado vivencia atualmente, as organizações dedicam - com razão - cada vez mais atenção ao tema da segurança da informação. O aumento de ataques desta natureza somado à recente entrada em vigor das sanções administrativas da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 - LGPD) tem provocado inquietação nos departamentos de privacidade e proteção de dados e, também, nos encarregados pelo tratamento dos dados pessoais (ETD), quase sempre recém-nomeados.
A LGPD estabelece, em seu art. 48, a obrigatoriedade de o controlador notificar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. Mas, na prática, nem sempre é evidente identificar a razão e a forma de realizar tal notificação.
É importante lembrar que incidentes de segurança normalmente representam momentos de crise dentro de uma organização. Quando o clima é tenso e as decisões precisam ser tomadas com rapidez, conhecer os pontos que precisam ser considerados antes de notificar a ANPD e os titulares pode ser crucial para agir de forma clara e eficaz.
Nesse sentido, o primeiro passo é identificar a categoria de incidente de segurança da informação aplicável.
Embora o vazamento de dados pessoais seja o incidente de segurança mais noticiado pela mídia brasileira e internacional, existem outras categorias de incidentes que, embora menos divulgadas, podem ser mais danosas.
É importante entendermos as principais categorias de incidente de segurança da informação. Tais incidentes são normalmente classificados como uma violação à confidencialidade, à integridade ou à disponibilidade dos dados.
Exemplificativamente, podemos ter um incidente de confidencialidade quando os dados são acessados por quem não deveria. Em um incidente de integridade, os dados podem ser indevidamente alterados, deixando de ser confiáveis. Já em um incidente de disponibilidade, os dados podem não estar disponíveis para acesso quando necessário.
Note-se que nem todo incidente de segurança da informação envolve dados pessoais. Ele pode até envolver informações que sejam relevantes para o negócio, mas se não atingir dados pessoais, podemos descartar as ações relacionadas à ANPD e titulares.
Assim, podemos dizer que todo incidente que envolve dados pessoais é um incidente de segurança da informação, mas nem todo incidente de segurança da informação é necessariamente um incidente que envolve dados pessoais.
Conforme disposto no art. 48 da LGPD, deve ser notificada à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Assim, nem todo incidente de segurança envolvendo dados pessoais deve ser notificado, mas somente aqueles que podem causar riscos e danos relevantes aos titulares. Surge, então, a dúvida sobre como realizar esta análise, posto que a ANPD não estabeleceu critérios objetivos para que o controlador o faça. Contudo, no website da ANPD podemos encontrar algumas pistas de reflexão sobre o tema. De fato, a ANPD indica que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.
Da mesma forma, a ANPD também recomenda a análise do volume de dados envolvido, o número de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
De toda sorte, a ANPD recomenda que as empresas adotem uma posição mais conservadora e procedam à comunicação mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.
Prazo para notificação
Outro ponto ainda pendente de regulamentação pela ANPD é o prazo em que o incidente deve ser reportado. Em seu texto, a LGPD estabelece que a comunicação deve ser feita em prazo razoável, conforme definido pela ANPD.
Atualmente, a ANPD recomenda o prazo de dois dias úteis para a comunicação ser feita. Contudo, este prazo ainda não é definitivo e a ANPD provavelmente se manifestará brevemente trazendo uma regulamentação oficial sobre o tema.
Já com relação às informações que devem ser levantadas para realização da comunicação, o artigo 48 da LGPD traz um rol indicativo: a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata, e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Caso o controlador não possua todas essas informações em mãos, poderá fazer uma comunicação parcial à ANPD e, posteriormente, complementá-la. A ANPD disponibiliza um modelo de formulário para notificação de incidente de segurança em seu website, já com campo para assinalar se a comunicação é parcial ou completa.
É importante mencionar que a notificação de um incidente à ANPD e aos titulares dos dados é um momento estratégico, que não deve ter sua importância negligenciada pela organização. Preparar uma comunicação e notificação adequadas pode ser essencial para as futuras etapas administrativas e eventualmente judiciais que serão enfrentadas pela empresa.
*Iara Peixoto Melo é advogada, coordenadora da equipe de Direito Digital e Data Protection do Chenut Oliveira Santiago Advogados
