O que é um incidente de segurança segundo a LGPD?
Qualquer evento que coloque em risco dados pessoais se enquadra na categoria de incidente de segurança para a LGPD. Embora muito se comenta atualmente acerca dos vazamentos de dados pessoais envolvendo bases de dados de empresas, governos e plataformas. Esse, no entanto, não é o único tipo de incidente de segurança envolvendo dados pessoais trazido pela Lei Geral de Proteção de Dados.
Dessa forma, ainda que nenhum dado pessoal tenha sido disponibilizado de maneira ampla, pode ser que tenha ocorrido um incidente que demande a doção de mecanismos para contenção dos danos, tanto para a empresa quanto para os titulares.
Esse conhecimento é crucial para aqueles que buscam adequar seus negócios à LGPD, já que, mesmo que outros tipos de incidentes de segurança que não os vazamentos possam parecer simples e preferíveis, eles ainda podem ser significativos o suficiente para requerer a adoção de medidas previstas em lei.
O que fazer caso ocorra um incidente de segurança, segundo a LGPD?
Em seu artigo 48, a Lei Geral de Proteção de Dados estabelece que é obrigação do controlador dos dados comunicar à Agência Nacional de Proteção de Dados e ao próprio titular em caso de incidentes que coloquem em risco ou dano relevante ao titular.
Já temos, portanto, um filtro: só é necessário comunicar em caso de risco relevante.
A lei não aborda o que seria considerado nessa categoria, e a ANPD recomenda cautela. Considerando todas as incertezas que ainda rondam a legislação, o mais recomendável no caso de dúvida é informar. A Autoridade ressalta, ainda, que avaliações equivocadas de risco que o levem a ser considerado menor do que na realidade é podem ser consideradas uma afronta à LGPD, levando à aplicação de penalidades.
Outro ponto relevante levantado pela ANPD é que, apesar de a obrigação legal recair apenas sobre os controladores dos dados, caso um operador faça a comunicação, ela será avaliada normalmente.
Como deverá ser feita a comunicação com a ANPD em caso de incidentes?
A comunicação deverá ser feita através de formulário disponível no site da Autoridade, respeitando o prazo razoável. Esse é mais um dos conceitos abertos trazidos pela LGPD, que não determina um critério de razoabilidade. A ANPD recomenda que a comunicação ocorra em até 2 dias úteis do conhecimento do incidente, sendo essa uma comprovação de boa-fé da empresa.
Também não há critérios claros para a comunicação ao titular do dado, e a previsão legal continua sendo a razoabilidade.
Para que o controlador possa a relevância ou não do risco, a Autoridade Nacional de Proteção de Dados recomenda que seja levada em consideração a natureza do dado (sensível ou não), os grupos de titulares envolvidos (se vulneráveis ou não, como no caso de crianças e adolescentes), se há o potencial de ocorrência de danos morais ou materiais (como discriminação, fraudes financeiras, roubo de identidade ou danos à imagem, entre outros), o volume de dados e de titulares afetados e a identificação ou não dos dados.
Ainda, quando há acesso de terceiros aos dados, é necessário considerar as intenções desse terceiro e sua boa-fé.
Segundo a ANPD, mais detalhes acerca dessa classificação serão apontados por regulamentação própria.
Todo incidente leva à aplicação de uma penalidade da LGPD?
A mera comunicação de um incidente não levará necessariamente à aplicação de sanções previstas na Lei Geral de Proteção de Dados. Essa aplicação somente ocorrerá caso a Autoridade Nacional de Proteção de Dados, após um processo administrativo, considere que o agente de tratamento tenha agido de maneira displicente ou contrária à legislação.
Afinal, não é todo incidente de segurança para a LGPD, que representa uma falha do agente de tratamento. Cabe a todos os agentes de tratamento de dados adotar os cuidados razoáveis que estiverem a seu alcance para evitar que qualquer problema ocorra. É impossível, no entanto, criar um ambiente de tratamento completamente imune a incidentes.
Mas atenção! Essa observação não significa que a empresa está isenta de responsabilização. Cabe a cada uma, no escopo de suas atividades, avaliar qual o limite da razoabilidade aplicável, considerando, inclusive, as práticas do seu mercado e o estado da arte.
A proteção de dados pessoais, nesse caso, aparece com um de seus pilares reforçados: a segurança da informação.
As duas atuam conjuntamente para blindar as bases de dados e evitar incidentes. A adequação à LGPD é essencial, já que o mero tratamento inadequado do dado pode constituir um incidente. É preciso, portanto, que o projeto de adequação seja profundo e rigoroso, definido os limites de uso de cada informação, identificando dados excessivos ou desnecessários e possíveis riscos de incidentes.
Esse trabalho somente poderá ser definidos com a compreensão aprofundada da situação fática. Os limites para cada tratamento de dados são variáveis, e não poderão ser “reaproveitados” sem avaliação cuidadosa. A relação da empresa com o titular, as expectativas dele, as bases legais apontadas e a natureza do tratamento podem mudar em cada caso, ainda que aparentemente sejam situações semelhantes.
Portanto, os incidentes de segurança segundo a LGPD, envolvem dados pessoais e devem ser avaliados com todo cuidado. As ações adotadas pelos agentes de tratamento após a ocorrência podem ter um impacto enorme na eventual penalização do agente, assim como os cuidados prévios adotados para evitá-lo.
Se quer saber mais sobre a LGPD, e como ela pode ser aplicável em caso de incidentes de segurança na sua empresa e com um projeto de adequação pode ajudá-lo, entre em contato conosco! Nossos profissionais estão sempre à disposição para tirar suas dúvidas e apoiar sua empresa.