Por Hélio Ferreira Moraes – Data: 23/02/2021
Embora ainda faltem critérios objetivos regulamentando detalhes sobre os incidentes de segurança, a ANPD – Autoridade Nacional de Proteção de Dados abriu oficialmente ontem 22/02/2021 o canal para comunicar um incidente de segurança. Até agora nossa orientação aos clientes em caso de vazamentos é que aguardassem maiores informações sobre esse procedimento, o que ocorreu com o comunicado da ANPD ora mencionado, assim o jogo foi iniciado e as empresas devem adotar novo posicionamento em caso de incidentes de segurança.
Antes de realizar a avaliação do incidente é preciso entender o que é um incidente de segurança de dados pessoais. De acordo com a LGPD é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Uma vez compreendido se está diante de um potencial incidente cabe avaliar a possível ocorrência de riscos e danos relevantes aos titulares e, caso existam, comunicar a ANPD e aos titulares, conforme as etapas abaixo:
O primeiro passo será avaliar internamente o incidente quanto a sua natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis, para identificar a necessidade ou não de comunicação com a ANPD e titulares. Para realizar essa avaliação será necessário comunicar ao encarregado, conhecido no mercado como o DPO, e o controlador, se você for o operador.
Vale lembrar que o comunicado da ANPD, embora não tenha força normativa, estabelece alguns critérios que deverão ser avaliados cuidadosamente, pois podem de um lado expor a empresa desnecessariamente e do outro contrariar recomendações da ANPD. Veja abaixo os pontos de atenção no comunicado da ANPD:
Cautela: A recomendação da ANPD é para adoção de posição de cautela, efetuando a comunicação mesmo nos casos em dúvida, pois a eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.
Obviamente a cautela é a medida mais segura, mas o fato é que não existem os critérios objetivos nem na LGPD, nem em regulamentação infralegal, sobre como avaliar os riscos e danos aos titulares, então caberá a empresa, apoiada pela sua equipe de privacidade, em especial o encarregado, avaliar se de fato o eventual incidente tem esse potencial para realizar a comunicação.
Conteúdo: A ANPD no formulário eletrônico disponibilizado que deverá ser preenchido caso o incidente seja reportado, cujo link se encontra mais abaixo, apresentou as informações básicas de conteúdo referentes as (i) informações de identificação e dados de contato; e (ii) informações sobre o incidente de segurança de dados pessoais, ambas devem ser apresentadas de forma claras e concisas.
Critérios para avaliar a necessidade de comunicação: A ANPD recomendou alguns critérios a serem utilizados na avaliação da gravidade e risco do incidente, os quais pontuamos a seguir: (i) envolver dados sensíveis, (ii) indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, (iii) potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade, (iv) volume significativo de dados envolvidos, (v) quantitativo significativo de indivíduos afetados, (vi) falta de boa-fé e más intenções de quem teve acesso, e (vii) facilidade de identificação dos titulares.
Embora não haja regulamentação a esse respeito, são critérios utilizados globalmente, por diversos órgãos de proteção de dados, cabendo a empresa tomar os devidos cuidados nessa avaliação, tendo em vista a falta de maiores detalhes nesses critérios nesse momento, bem como a falta de uma norma regulamentadora de sua aplicação.
Prazo: A recomendação da ANPD é que seja comunicada no prazo de 2 dias úteis, contados da data do conhecimento do incidente, segundo critério do Decreto nº 9936/2019.
A recomendação é de um prazo bastante curto se consideramos que foi emprestada de um decreto direcionado para empresas que trabalham exclusivamente com banco de dados, que são os bureaus de crédito, além disso é inferior inclusive as 72 horas concedidas pelo GDPR na Europa, que já possui uma tradição e cultura em privacidade muito mais desenvolvida que no Brasil.
Esse prazo poderá ser questionado, obviamente, pela falta de regulamentação nesse sentido, inclusive na questão da razoabilidade utilizada como critério na LGPD, tendo em vista o momento inicial de implantação desta cultura em privacidade que estamos vivendo no Brasil. Entretanto, é um parâmetro que não pode sair da visão das empresas, enquanto não sobrevier futura regulamentação.
O segundo passo será comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares. Nesse sentido, os links abaixo constam o formulário eletrônico para relatar o incidente e o canal de peticionamento eletrônico adequado.
Formulário eletrônico para relatar o incidente: Acesse o formulário neste link
Peticionamento eletrônico: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
A questão da comunicação com os titulares não foi abordada pela ANPD, o que persistirá como uma questão ainda relevante, tendo em vista que em muitos casos essa comunicação é excessivamente onerosa, quando não até mesmo inviável.
Lembre-se de elaborar a documentação de avaliação interna do incidente, das medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas previstos na LGPD.
Caso precisem de qualquer suporte nos procedimentos de incidentes de segurança ou outros assuntos relacionados a LGPD estamos à disposição no canal: [email protected]
Temos vídeos sobre a LGPD no canal do Youtube: https://www.youtube.com/heliomoraes_advogado
E também alguns textos de apoio no canal: https://direitoparatecnologia.com.br/
