Os ‘vazamentos’ de dados pessoais e a LGPD

Os ‘vazamentos’ de dados pessoais e a LGPD

Marcelo Crespo*

09 de março de 2021 | 08h30

Marcelo Crespo. FOTO: DIVULGAÇÃO

Pelo menos desde 2018 temos percebido um forte incremento do tema “proteção de dados” nas mais variadas mídias. Isso decorre, em parte, do surgimento do Regulamento Geral de Proteção de Dados da União Europeia e, ainda, da criação da nossa Lei Geral de Proteção de Dados (LGPD), vigente em parte desde setembro do ano passado. Embora não sejam normas focadas na segurança das informações (termo técnico que se refere à proteção da confidencialidade, autenticidade, disponibilidade e integridade), têm, claramente, importante ligação com o tema já que trazem obrigações decorrentes de incidentes de violações de dados pessoais, com as boas práticas e dever de notificação e com os parâmetros para um programa de privacy compliance.

Então chegou 2021 e, em menos de dois meses já tivemos notícias de dois “megavazamentos” de dados pessoais, o que tem causado muita inquietação dos profissionais de proteção de dados e, ainda, dos demais cidadãos, que ficam ansiosos e apreensivos sobre as repercussões de seus dados pessoais terem sido violados de alguma forma.

Os incidentes de violação de dados pessoais devem receber atenção de todos – cidadãos, mídia, órgãos públicos e entidades privadas – porque, a partir deles, todo um ecossistema criminoso tem alimento suficiente para continuar crescendo. Um grande problema decorrente destes incidentes, para além da evidente exposição da privacidade das pessoas, é permitir que elas sejam vítimas de fraudes. Imagine-se os problemas vividos por parte da população que tem seus nomes usados em estelionatos, “lavagem” de dinheiro e outros ilícitos praticados com dados pessoais inseridos fradulentamente em cadastros dos mais variados? É terrível porque traz prejuízo à economia do País e às operações das instituições e dá muito, muito trabalho para que as vítimas possam efetivamente se ver livres dos efeitos deletérios destes crimes.

Sobre o tema, anualmente a IBM produz um robusto relatório sobre incidentes de violações de dados pessoais em que foram ouvidas mais de três mil e duzentas pessoas de mais de quinhentas empresas que foram alvo dos incidentes. A pesquisa mostra que, em média, o custo da violação é de 3,8 milhões de dólares e que levam surpreendentes 280 dias até que o incidente seja descoberto pela instituição vítima. É um delay extraordinário que permite que os efeitos danosos estejam muito à frente de qualquer medida para efetivamente remediar o ocorrido. Lembrando que nem todo incidente é alvo de prática criminosa, podendo decorrer de falhas sistêmicas ou operacionais no cotidiano dos agentes de tratamento de dados pessoais. A pesquisa mostra que 52% decorrem de crimes, 23% de falha humana e 25% de questões sistêmicas.

Particularmente sobre o Brasil, os números da pesquisa mostram que embora os custos da violação sejam mais baixos do que a média mundial – aqui é de 1,12 milhão de dólares – o tempo decorrido entre o descobrimento do incidente (265 dias) somado ao tempo de remediação (115 dias) totalizam surpreendentes 380 dias, o maior entre todos os países que foram mapeados. Mais de um ano, na média, entre descobrir e conter o incidente. É algo a ser considerado fortemente para medidas que possam mitigar as ocorrências.

Mas, então, como reverter esse cenário catastrófico composto por “megavazamentos” e esse longo tempo até a remediação? Não há, evidentemente, fórmula mágica, mas algumas coisas são fundamentais: o uso de ferramentas para acompanhar atividades com grandes riscos, simplificação do ambiente de tecnologia, proteção dos dados pessoais e, ainda, adoção de um plano efetivo de resposta a incidentes de violações dados. Nos momentos de crise, saber fazer uma boa gestão pode significar a manutenção da reputação da organização que sofreu o incidente, além de evitar que as pessoas sejam vítimas duas vezes: pelo “vazamento” e exposição da privacidade e pelos crimes decorrentes disso.

Por fim, muito embora a recém operante Agência Nacional de Proteção de Dados (ANPD) tenha divulgado Nota Técnica 03/2021 que trata da “Tomada de Subsídios para regulamentação do dever de comunicação de incidentes de segurança”, que é uma busca por uma padronização nas respostas a incidentes de violação de dados, não há nada melhor a se fazer no momento do que efetivamente se importar com a segurança dos dados pessoais, com governança, recursos técnicos e planos de respostas a incidentes. Esperamos que, assim, todos os agentes de tratamento de dados assumam suas responsabilidades para que possam prestar contas efetivas das suas atividades. Só assim os data breaches deixarão de ser manchetes sobre os incidentes, para vivermos a prevenção e remediação necessárias.

*Marcelo Crespo é PhD em Direito Digital e Direito Penal. Especialista em Proteção de Dados, Gestão de Crises e Contencioso Digital de Pires & Gonçalves Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.