DATA BREACHES: por que notificar a ANPD não basta?

DATA BREACHES: por que notificar a ANPD não basta? Desde o último dia 1º de agosto a LGPD está em pleno vigor e, assim, toda e qualquer instituição poderá ser autuada pelo descumprimento da lei. Embora a ANPD já tenha se manifestado algumas vezes que terá, pelo menos inicialmente, um papel mais orientativo que repressivo, é sempre muito importante ter atenção para que a lei não seja descumprida e, assim, haja espaço para possíveis autuações.

Quando o tema é descumprimento da lei, logo vem à mente as questões relativas aos data breaches – os incidentes de violação de dados pessoais, também conhecidos informalmente por “vazamentos”. E, infelizmente, aqui no Brasil há muitos casos. Os data breaches são um enorme problema para as empresas e para os titulares de dados porque com os dados “vazados”, criminosos de plantão passam a fazer uso deles para concretizar fraudes variadas, muitas vezes com “roubos de identidade”, o que traz muitas dificuldades para os titulares resolverem. É sempre muito burocrático e toma muito tempo, além do prejuízo financeiro, lidar com isso. E, para as empresas, os problemas não são nada mais fáceis de serem resolvidos porque envolvem o gerenciamento de crises operacionais, financeiras e reputacionais. E o que poderia ser pior que isso? Não estar preparado para lidar com crises assim!

Mas, para se poder organizar para lidar com os data breaches é preciso, antes, saber do que se tratam. E, normalmente um data breach pode ser definido como uma violação de dados com divulgação intencional ou não, para um ambiente indevido, de dados pessoais e/ou outras informações, que são privadas ou confidenciais. O Information Commissioner’s Office – ICO – define uma violação de dados pessoais como um incidente de segurança da informação que afete a confidencialidade, integridade ou disponibilidade de dados pessoais.

Assim, pragmaticamente falando, uma ocorrência acidental ou intencional que acarrete a destruição, perda, alteração, corrompimento, divulgação acidental ou ilegal, acesso, armazenamento ou processamento indevido resultante de um incidente de segurança pode ser considerado um data breach.

Um grande desafio para as empresas é justamente saber se está vivenciando um data breach. Isso porque, muitas vezes, as organizações não tomam conhecimento por si sós: é bastante comum que saibam dos data breaches por terceiros, sejam eles clientes, fornecedores ou mesmo a imprensa. Então, quando o tema vem a tona, já se está no meio de uma crise e com fatos com os quais não se pode muito bem manejar e todo tempo economizado para gerenciar esta crise pode ser crucial.

Mas o que diz a LGPD sobre isso? Bem, a LGPD determina que “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” (art. 48) e, embora a lei nada mencione sobre o prazo, a ANPD recomenda que a comunicação se dê em até dois dias úteis.[1] Não podemos esquecer, ainda que o art. 6º, inciso VII estabelece que a segurança é um princípio legal a ser observado no tratamento de dados, que o art. 46 fala que os agentes de tratamento de dados “devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais” da ocorrência de incidentes e, por fim, que o art. 50 fala nas instituições poderem estruturar programas de privacy compliance.

Percebe-se, assim, que a lei traz algumas exigências, mas não mostra como elas precisam ser implementadas, havendo algum espaço para que as empresas se organizem internamente.

Também deve-se notar que de tudo o que a lei fala sobre os data breaches, a notificação não resolve o problema técnico, operacional e reputacional de quem é vítima do incidente, já que a causa raiz do “vazamento” deve sempre ser investigada, que a crise precisa ser gerenciada e que os negócios não podem sofrer interrupções ou suspensões.

Ao nos depararmos com um incidente tipo data breach, também não se pode esquecer que não é só a ANPD a autoridade que poderá investigar e autuar o descumprimento da lei, já que outros órgãos (Ministério Público, PROCONs, Secretaria Nacional do Consumidor, por exemplo) podem atuar e têm atuado em casos assim.

É preciso compreender, portanto, que lidar com data breaches não pode ser visto como apenas um item de um checklist para a conformidade com a lei, concretizado em uma notificação para a Autoridade Nacional de Proteção de Dados. É algo que deve fazer parte das rotinas corporativas de gestão de crises, com planos de resposta a incidentes, determinando quem faz o quê, quando, porque e como. Em uma organização sem preparo, um incidente de violação de dados pessoais tem capacidade para se tornar uma catástrofe corporativa. Sua empresa está preparada para, além de notificar a ANPD, fazer gestão de crises? Deveria estar!

Gerir uma crise não é algo simples e não depende apenas de um checklist, mas há uma lista de coisas que podem te ajudar a saber se está no caminho certo para lidar com um data breach.

Marcelo Crespo é sócio no Peck Advogados, fundador da Privacy Rocket, é especialista em Proteção de Dados e Direito Digital.

1] Vide orientações em https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca.

Conheça  Workbook Gratuito sobre LGPD, base para preparação do exame EXIN PDPE (LGPD) e nosso programa de Segurança da Informação (Download de Guide e Simulado ao final da página)