Como comunicar um incidente de segurança aos titulares de dados?
Muito mais que somente uma boa prática de transparência, comunicar um incidente de segurança de dados pessoais aos titulares é uma obrigação legal estabelecida pela Lei Geral de Proteção de Dados (LGPD).
O principal objetivo dessa medida é garantir que os titulares estejam cientes do ocorrido e possibilitar a mitigação dos riscos decorrentes do incidente. Ao serem informados do ocorrido, os titulares podem tomar efetivas medidas para proteger seus dados, como alterar senhas, monitorar contas, e-mail e redes sociais, além de tomar outras medidas de segurança.
A demonstração de comprometimento da organização em garantir a segurança dos dados dos titulares sem dúvidas é um diferencial de mercado. Uma comunicação rápida e efetiva demonstra não apenas um compromisso com os titulares de dados, mas também boa-fé e engajamento com a proteção de dados pessoais perante o mercado, a Autoridade Nacional de Proteção de Dados (ANPD) e os demais órgãos fiscalizadores.
Além disso, vale lembrar que a adoção de boas práticas, como a eficiente comunicação do incidente ao titular, podem atenuar em 20% o valor das multas passíveis de serem aplicadas pela ANPD, de acordo com resolução CD/ANPD nº 4, publicada em 24 de fevereiro de 2023.
O que é um incidente de segurança?
Sob a ótica da LGPD, um incidente de segurança é qualquer evento relacionado a violação da segurança dos dados pessoais. E isso pode incluir acessos e divulgações de dados não autorizados, vazamentos, destruição acidental ou ilícita, perda, destruição, alteração ou qualquer outra forma de tratamento inadequado de dados pessoais que possa resultar em riscos ou danos aos titulares dos dados.
Os incidentes de segurança podem ser causados por fatores internos ou externos à organização, como falhas no sistema de segurança, ataque de hackers, falha humana, roubo de dispositivos ou até mesmo desastres naturais.
Independentemente da causa do incidente de segurança, a LGPD estabelece que a organização responsável pelo tratamento dos dados sempre deve adotar as medidas técnicas e administrativas cabíveis para evitá-los. Caso ocorram, é responsabilidade da empresa notificar rapidamente e com eficiência os titulares afetados e a ANPD.
Quando devemos comunicar um incidente de segurança aos titulares?
Um incidente precisa ser comunicado se atender, cumulativamente, aos seguintes critérios:
1. Ter a ocorrência confirmada pelo agente.
2. Envolver dados pessoais sujeitos à LGPD.
3. Acarretar risco ou dano relevante aos titulares dos dados, em atenção ao art. 48 da LGPD.
É importante que as empresas avaliem cuidadosamente cada situação e ajam de maneira transparente e responsável, garantindo que os titulares sejam informados de forma clara e objetiva sobre o incidente e quais medidas estão sendo tomadas para mitigar seus efeitos.
Como comunicar um incidente de segurança aos titulares?
A comunicação de incidentes de segurança à ANPD deve ser realizada pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador por meio do preenchimento do formulário disponibilizado pela Autoridade e deve ser protocolado eletronicamente.
Da mesma forma, a comunicação de um incidente aos titulares deve se utilizar dos melhores canais de comunicação disponíveis, sejam eles listas de e-mail, SMS e WhatsApp, disclaimer no website oficial da empresa ou até mesmo um comunicado por mídia publicitária, em casos de incidentes de grande escala. A escolha dos canais de comunicação para notificar os titulares de um incidente de segurança de dados pessoais pode depender do tipo de empresa, do público-alvo e das circunstâncias do incidente.
Na comunicação a empresa deve:
1. Identificar o incidente ocorrido e deixar claro que agiu o mais rápido possível e tomou medidas para contê-lo e minimizar seus impactos.
2. Incluir informações sobre o tipo de dados comprometidos e o impacto do incidente.
3. Detalhar as medidas que a empresa está tomando para remediar a situação.
Mesmo após as comunicações, a empresa deve acompanhar as consequências do incidente e registrar todos os passos tomados para remediar a situação. Além disso, a empresa deve produzir um relatório completo sobre o incidente, incluindo suas causas, impactos e medidas de mitigação.
LEIA TAMBÉM: Consultoria Em LGPD — Por Quê Contratar?
Qual a importância de uma consultoria jurídica no caso de um incidente de segurança?
O ideal é que toda organização tenha formalizado um plano de resposta a incidentes de segurança que trace o passo a passo para a eventualidade de incidentes de segurança, o qual deve ser elaborado com assessoria jurídica. Em caso de incidentes de relevante gravidade, é desejável que seja formado um comitê multidisciplinar de gestão de resposta ao incidente, o qual sempre deve ser composto por especialistas com o pleno domínio das questões técnicas jurídicas pertinentes.
Uma consultoria jurídica especializada é essencial para dar suporte a organização no que toca ao cumprimento das obrigações legais e a garantia da conformidade com as leis e regulamentações aplicáveis, destacado que a resposta ao incidente deve sempre ser ordenada e orquestrada no detalhe. A contratação externa de um assessoramento jurídico com experiência comprovada é uma decisão estratégica de grande impacto para reduzir riscos das sanções de qualquer espécie.
Somente uma orientação jurídica especializada poderá dar a melhor assistência ao comitê de gestão de resposta a incidentes no que toca:
1. À avaliação de riscos sancionatórios.
2. À avaliação das obrigações de notificação aos titulares e autoridades regulatórias.
3. Às possíveis penalidades em caso de não cumprimento.
4. À preparação da documentação pertinente.
Além de ajudar a empresa a mitigar riscos no que exige o domínio da técnica jurídica, uma consultoria especializada está preparada para tratar da melhor forma a fim de minimizar o impacto negativo na imagem da empresa. Afinal, além das sanções aplicáveis as organizações, é necessário levar em consideração os danos em termos de reputação.
Conheça a solução de Adequação Total à LGPD do Camargo e Vieira.
A importância de comunicar um incidente de segurança
Comunicar um incidente de segurança aos titulares de dados é fundamental para garantir a transparência e a confiança dos usuários em relação à empresa. É importante que a comunicação seja clara, objetiva e realizada o mais rápido possível, preferencialmente por meio de múltiplos canais.
A preparação, a rapidez e a clareza na comunicação são fundamentais para mitigar os riscos e reduzir os impactos para os titulares afetados. Além disso, a empresa deve estar preparada para lidar com possíveis questionamentos e oferecer suporte aos titulares afetados.
É importante lembrar que o impacto negativo na imagem pública da organização pode ser muito mais oneroso que qualquer multa administrativa, pois a reconstrução reputacional é muito mais cara que prevenção. Os efeitos de um incidente de segurança mal conduzido poderão repercutir com a rescisão de contratos e a inviabilização de novos negócios.
Somente uma consultoria jurídica com experiência comprovada poderá garantir não somente que a empresa a cumprirá todas suas obrigações legais e regulatórias, bem como poderá avaliar riscos e implementar medidas preventivas para evitar futuros incidentes de segurança de dados pessoais.