Os incidentes de segurança na Lei Geral de Proteção de Dados: pequenos avanços

Os incidentes de segurança na Lei Geral de Proteção de Dados: pequenos avanços

Daniele Verza Marcon*

28 de abril de 2021 | 13h00

Daniele Verza Marcon. FOTO: DIVULGAÇÃO

Muito se tem falado a respeito dos aspectos práticos da Lei Geral de Proteção de Dados (“LGPD”). Embora o foco de proteção da LGPD esteja nos dados relacionados às pessoas naturais, as regras e princípios nela estabelecidos impactam significativamente duas figuras: o controlador (quem decide sobre o tratamento de dados pessoais) e o operador (quem realiza o tratamento de dados pessoais em nome do controlador). Controlador e operador são referidos, em conjunto, como “agentes de tratamento”.

Justamente por realizaram a coleta e tratamento de dados pessoais, a LGPD exige que controladores e operadores adotem medidas hábeis a garantir a segurança das informações, a fim de evitar acessos não autorizados, situações que afetem a integridade dos dados pessoais ou qualquer forma de tratamento inadequado ou ilícito (art. 46). Se for constatada a ocorrência de um incidente de segurança que possa “acarretar risco ou dano relevante aos titulares”, os agentes de tratamento devem notificar a Autoridade Nacional de Proteção de Dados (“ANPD”) e a pessoa natural (o “titular”) afetada (art. 48). Caso se entenda que não há risco ou dano relevante, não há necessidade de notificar.

O tema é incipiente e ainda depende de regulamentação específica pela ANPD, que promoveu, entre 22 de fevereiro a 24 de março de 2021, consulta pública por meio da Tomada de Subsídios 2/2021. A consulta teve como objeto viabilizar a contribuição da sociedade na definição de critérios para a avaliação do que seria um “risco” e um “dano” relevante em determinado incidente de segurança, quais informações devem ser repassadas à ANPD a respeito do incidente e em que prazo, além de possíveis exceções à obrigação de informar a ANPD e os titulares sobre um incidente.

É importante ter em conta que um incidente de segurança que decorrer da falta de implementação de medidas de segurança suficientes pelos agentes de tratamento pode ter como consequência tanto o pagamento de indenizações aos titulares, por meio de ações judiciais, quanto a imposição de multa pela ANPD, que pode chegar a até R$ 50 milhões por infração (art. 52).

Mas há dúvidas que dificilmente serão resolvidas apenas com regulamentação específica. A natureza multidisciplinar ou transversal da legislação de proteção de dados e o uso de conceitos abertos pela LGPD, inclusive no capítulo sobre a segurança da informação, resultam em uma amplitude ainda maior de possíveis interpretações.

Afinal, o que pode ser considerado um risco ou um dano e o que os torna relevantes? A ansiedade diante da notícia de um vazamento e a possibilidade de fraudes de identidade podem ensejar demandas indenizatórias, mesmo sem a ocorrência de um dano material?

O cenário brasileiro atual contribui para uma sensação de instabilidade sobre o tema. Recentemente, pesquisadores do MIT revelaram um aumento de mais de 490% no número de dados vazados no Brasil apenas em 2019, além das notícias sobre o vazamento de dados de mais de 220 milhões de brasileiros. Se alguém sofrer um golpe, como saber a origem do dado vazado? Quem deve ser responsabilizado? Pode-se dizer que há apenas um responsável?

Há poucas respostas práticas para essas perguntas. Talvez não as tenhamos nos próximos anos. Mas há algo que agentes de tratamento de dados pessoais podem fazer desde logo para mitigar preocupações e riscos. É importante que o Encarregado (figura criada pela LGPD para atuar no canal de comunicação entre o controlador, os titulares e a ANPD) acompanhe e oriente os procedimentos internos para assegurar que sejam adotadas medidas suficientes para a segurança dos dados, como o armazenamento de dados por setores, uso de diferentes senhas, restrições internas de acesso, revisão de quais dados estão sendo coletados e se são necessários, além da adoção de barreiras físicas para controle do fluxo de dados impressos.

Outras medidas de precaução envolvem a qualidade de registros internos. Conforme indicado no material com a contribuição do Data Privacy Brasil à Tomada de Subsídios 2/2021 da ANPD, é importante que incidentes considerados sem risco relevante sejam igualmente registrados internamente, assim como os motivos que fundamentaram a conclusão sobre o potencial de risco. Acrescenta-se a recomendação para que se registrem as medidas adotadas para mitigar danos futuros após a constatação de tais incidentes, que poderão ser reportadas à ANPD ou apresentadas em juízo, caso ocorra um novo incidente de segurança com impacto relevante.

Especificamente quanto às comunicações sobre incidentes de segurança, a ANPD, recentemente, disponibilizou um formulário que pode ser preenchido tanto pelo operador quanto pelo controlador, inclusive nos casos em que houver dúvida sobre a gravidade do incidente. O formulário requer informações sobre: momento de ocorrência do incidente e da sua identificação pelo agente de tratamento, natureza dos dados, quantidade e categoria de titulares afetados, medidas de segurança adotadas e realização do relatório de impacto. Na pendência de regulamentação, a ANPD recomendou que o formulário seja encaminhado em até 2 dias úteis, a contar da ciência do agente de tratamento acerca do incidente de segurança – muito embora a observância desse prazo ainda não seja peremptória.

A adaptação à era digital e à economia de dados ainda demandará muitos ajustes. Mas a correta implementação das regras e dos princípios da LGPD também trará benefícios e fortalecerá o fluxo de dados, inclusive a nível global. A postura adotada pela ANPD desde a sua criação tem indicado uma tendência de colaboração com outras entidades (a recente parceria com a SENACON é um bom exemplo), a fim de disseminar a cultura de proteção de dados e evitar demandas em massa. Há muitas questões em aberto; aos poucos, porém, avançamos.

*Daniele Verza Marcon, graduada em Direito pela UFRGS. Sócia da área de Proteção de Dados de Souto Correa Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.