Entenda porque é importante ter conhecimento sobre data breach e como isso pode proteger a sua startup com a entrada em vigor da LGPD.
A Lei Geral de Proteção de Dados (“LGPD”) não traz uma definição específica do que seria um incidente de segurança, contudo, a General Data Protection Regulation[1] (“GDPR”) da União Europeia (norma que serviu de base para a elaboração da LGPD) define como: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.[2]
Portanto, trata-se de um evento que pode ocorrer de diversas maneiras, além da óbvia violação de privacidade existe uma imensidade de consequências possíveis, podendo inclusive, colocar a vida de pessoas em risco a depender de quem tiver acesso aos dados vazados ou a que tipo de informação tiverem acesso.
Por estas razões tanto a LGPD[3] como a GDPR têm previsões específicas de prevenção e resposta em caso de incidentes como esses. Para facilitar a compreensão vamos abordar esse tema em três partes: (i) vamos falar sobre as disposições da LGPD para prevenção; (ii), vamos tratar sobre o que deve ser feito caso ocorra um incidente de segurança; e (iii) vamos trazer um checklist que pode ajudar empresas a melhor se prepararem para responder a um incidente.
Dispositivos da LGPD para prevenção de incidentes de segurança (“pre-data breach”)
Conforme caput do artigo 46 da LGPD:
“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Apesar da lei não definir expressamente o que é um incidente de segurança ela deixa bem claro que os agentes de tratamento (controlador e o operador) devem adotar formas de proteger os dados pessoais que tratam[4]. Inclusive, de acordo com o parágrafo único do art. 44, o controlador e/ou o operador podem responder pelos danos decorrentes da violação da segurança dos dados caso deixem de adotar as medidas de segurança previstas no art. 46. Esta obrigação de garantir a segurança da informação por parte dos agentes de tratamento também se estende a outras pessoas que intervenham em alguma fase do tratamento dos dados, conforme art. 47.
No mesmo sentido, o artigo 49 determina que: “Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.
Estas demais normas regulamentares podem ser produzidas pela autoridade nacional[5] conforme disposto pelo §1º do artigo 46. Esta poderá “dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo”, portanto, podemos esperar que sejam criadas normas mais específicas em relação a este tema.
O artigo 50 da LGPD encoraja controladores e operadores a:
“formularem regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”.
Em outras palavras, a lei tenta promover uma auto-regulamentação no mercado como forma de mitigar os riscos inerentes a tratamento de dados pessoais. Os itens que podem ser abordados neste programa de governança em privacidade estão listados nas alíneas “a” à “h” do inciso I, §2° do artigo 50[6], sendo a alínea g: “planos de resposta a incidentes e remediação” o que mostra a preocupação em antecipar possíveis incidentes e planos de como agir caso ocorram.
Para finalizar esta primeira parte que menciona as medidas preventivas, é importante falar do relatório de impacto à proteção de dados pessoais (“relatório de impacto”), conhecido também como DPIA (sigla para Data Protection Impact Assessment na GDPR).
Segundo a LGPD, o relatório de impacto é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (inciso XVII do artigo 5°). A autoridade nacional pode, inclusive, determinar que o controlador elabore um relatório de impacto referente às suas operações de tratamento de dados, conforme artigo 38 da LGPD. Para maiores informações sobre este instrumento acesso nosso artigo do Espaço Startup que fala especificamente sobre relatório de impacto ou DPIA.
Como agir quando constatado um incidente de segurança (“data breach response”)
Caso seja constatado um incidente de segurança os passos a serem tomados são de extrema importância para não agravar a situação. O artigo 48 da LGPD determina que: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” Segundo o §1º do mesmo artigo esta comunicação deve ser feita “em prazo razoável, conforme definido pela autoridade nacional” e além disso deverá mencionar, no mínimo os seguintes dados sobre o ocorrido:
“I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.”
Diante disso, conforme o §2º do artigo 48, a autoridade nacional verificará a gravidade do incidente e poderá determinar ao controlador a adoção de determinadas providências, tais como: “ampla divulgação do fato em meios de comunicação” e “medidas para reverter ou mitigar os efeitos do incidente”.
A Lei nº 8.078, de 11 de setembro de 1990 (“Código de Defesa do Consumidor”) no §1° do artigo 10 determina que:
“O fornecedor de produtos e serviços que, posteriormente à sua introdução no mercado de consumo, tiver conhecimento da periculosidade que apresentem, deverá comunicar o fato imediatamente às autoridades competentes e aos consumidores, mediante anúncios publicitários.”
Por esta razão, constatado um incidente de segurança os consumidores devem ser avisados uma vez que a depender do caso pode haver risco à segurança destes indivíduos.
Conforme falamos anteriormente, existe a exigência de que os sistemas utilizados para o tratamento de dados pessoais devam atender a requisitos de segurança, padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD além de outras normas. Quando a autoridade nacional investigar a gravidade do incidente, o nível de segurança conferido ao tratamento de dados será levado em conta para determinar se haverá ou não aplicação de penalidade.
Após procedimento administrativo perante a autoridade nacional, se for identificada responsabilidade por parte dos agentes de tratamento poderão ser aplicadas sanções conforme o artigo 52 da LGPD. Tais sanções variam de advertência (com indicação de prazo para adoção de medidas corretivas), multa diária, multa simples podendo chegar até o valor de R$ 50.000.000,00 (cinquenta milhões de reais), publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização e eliminação dos dados pessoais a que se refere a infração.
Portanto, é possível perceber que o tema é bastante sério não apenas pelas possíveis consequências de um incidente de segurança como pelas possíveis sanções aplicáveis. A melhor maneira de prevenir um incidente é se informar, ter em mente as responsabilidades exigidas quando se faz tratamento de dados e por em prática as exigências mínimas de segurança da informação. Apesar da LGPD só entrar em vigor em agosto de 2020 um cliente lesado por um incidente de segurança pode exigir reparações com base no Código do Consumidor e no Código Civil até lá.
Para compreender melhor como agir acesse o checklist aqui que criamos com algumas medidas que podem ser adotadas internamente pelas empresas antes que um incidente ocorra. Essas medidas exprimem tanto obrigações legais quanto recomendações de boas práticas.
new RDStationForms(‘newsletter-formulario-0dba7da51a18e879c598’, ‘UA-91686746-1’).createForm();
Notas:
[1] UNIÃO EUROPEIA. Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 abril de 2016. General Data Protection Regulation.
[2] UNIÃO EUROPEIA. Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 abril de 2016. General Data Protection Regulation. Artigo 4º, item 12.
[3] Pontualmente, outras normas do ordenamento brasileiro também dão diretrizes, conforme abordaremos em seguida. Contudo, vale ressaltar que determinados setores possuem maiores exigências de segurança como o mercado financeiro. A Comissão de Valores Mobiliários, autarquia que regulamenta e fiscaliza o setor possui normas específicas para o setor.
[4] Tratamento de dados é um termo técnico dentro de proteção de dados que significa “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, conforme artigo 5° inciso X da LGPD.
[5] Importante notar que esta autoridade ainda não foi criada o que tem gerado certa insegurança jurídica apesar da lei apenas entrar em vigor em fevereiro de 2020.
[6] “I – implementar programa de governança em privacidade que, no mínimo:
- a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
- c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
- d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
- f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
- g) conte com planos de resposta a incidentes e remediação; e
- h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;”
