Click Friday

Ganhe documentos no plano  Avançado para fechar mais negócios na sua Black Friday

Promoção Click Friday:
Contrate um plano de assinatura eletrônica e ganhe documentos adicionais. Consulte o regulamento e aproveite!
Incidentes de Segurança na LGPD:  o que fazer e como minimizar seus custos

Incidentes de Segurança na LGPD: o que fazer e como minimizar seus custos

Publicado em:
27
/
09
/
2024

A segurança na Lei Geral de Proteção de Dados Pessoais

Na Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018) segurança é tanto um princípio (art. 6º) quanto uma regra (art. 46). 

Enquanto princípio, a lei impõe que a segurança seja observada em todas as atividades de tratamento  realizadas por empresas, organizações da sociedade civil ou órgãos públicos,  através da adoção medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e reduzir o risco de que os dados sejam destruídos, perdidos, alterados ou compartilhados de forma ilícita ou acidental. 

Como regra, a segurança aparece na LGPD como forma de evitar “tratamento inadequado ou ilícito” de dados pessoais. Em suma, na LGPD, a definição de segurança abarca tanto a visão clássica do trio “confidencialidade, integridade e disponibilidade” dos dados pessoais, mas, mais do que isso, a segurança é um instrumento para assegurar o cumprimento da legislação. 

Incidentes de segurança envolvendo dados pessoais

Pesquisa conduzida pela  IBM no ano de 2024, “Data Breach Costs” revelou que o custo médio¹ de uma violação de dados para empresas vem aumentando ao longo dos anos e, em 2024, alcançou o valor de US$4,8 milhões. Estar preparado para lidar com um incidente envolvendo dados pessoais - como, por exemplo, com um plano de respostas a incidentes - é um fator identificado na pesquisa como redutor deste custo médio da violação. 

O primeiro passo para lidar com um incidente é detectá-lo e classificá-lo adequadamente. Um mero problema em um sistema pode  gerar um incidente. Logo, identificar, triar e classificar o que são problemas e o que são, de fato, incidentes é o primeiro passo. 

Para auxiliar os agentes de tratamento a realizar esta classificação, a Autoridade Nacional de Proteção de Dados Pessoais em sua Resolução nº 15 regulamentou o conceito de “incidente de segurança” como “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”. 

O Plano de Resposta a Incidentes 

Um plano de resposta a incidentes bem estruturado é a primeira providência preventiva que qualquer organização que lida com dados pessoais deve implementar. Ele serve como um guia detalhado, definindo as ações a serem tomadas em caso de violações de segurança, garantindo uma resposta rápida e eficaz da organização para conter e mitigar os danos que porventura sejam causados. O plano descreve, passo a passo, as medidas a serem adotadas pela organização desde a detecção de um incidente até sua resolução completa. Ele deve ser elaborado com base em uma análise de riscos e considerar as especificidades da organização.

O plano, além de demonstrar o compromisso da organização com a segurança dos dados e a privacidade dos titulares, pode limitar os impactos financeiros de um incidente, mitigando os danos para os titulares e para os agentes de tratamento.

Nos casos em que é obrigatória, a comunicação tempestiva do incidente à ANPD e aos titulares é um dos aspectos mais críticos de um plano de resposta, já que, se não cumpridos os prazos estabelecidos na legislação, a autoridade pode sancionar o controlador. Manter um modelo de comunicação pré-preenchido com as principais informações exigidas pela ANPD é uma estratégia eficiente. A ANPD disponibiliza um modelo padrão para notificação, que pode ser personalizado conforme o tipo de incidente, acelerando o envio da notificação e garantindo que os requisitos legais sejam cumpridos.

Riscos ou danos relevantes

Nem todos os incidentes de segurança precisam ser comunicados à ANPD e aos titulares dos dados afetados. O artigo 48 da LGPD estabelece a obrigação do controlador de dados de comunicar incidentes que possam “acarretar riscos ou danos relevantes”. 

Considerando a subjetividade desta definição, a ANPD criou alguns critérios objetivos, relacionados à natureza e ao volume dos dados pessoais afetados pelo incidente, que obrigam sua comunicação. Assim, se o incidente envolver (i) dados pessoais sensíveis, (ii) dados de crianças, de adolescentes ou de idosos, (iii) dados financeiros, (iv) dados de autenticação em sistemas, (v) dados protegidos por sigilo legal, judicial ou profissional ou (vi) dados em larga escala, o incidente deve ser comunicado pelo controlador. Vale dizer que o conceito de larga escala ainda não foi parametrizado pela ANPD, que abriu um processo de tomada de subsídios em abril de 2024 sobre o tema.  

Comunicação do incidente

A Resolução nº 15 define que a comunicação do incidente para os titulares de dados pessoais seja feita, primordialmente, de forma individualizada e direta, como por email, por exemplo. Caso não seja possível, a comunicação pode ser feita pelo meio disponível, seja o sítio eletrônico da organização , aplicativo, mídias sociais ou canais de atendimento aos titulares. A comunicação para a ANPD, todavia, deve ser feita  por meio de um canal específico, disponibilizado no site da Autoridade.

A ANPD, com base em suas prerrogativas estabelecidas pela LGPD, pode, de ofício, investigar a ocorrência de um incidente, mesmo que não tenha sido relatado pelo controlador, caso em que poderá, inclusive, sancionar o agente de tratamento por descumprir a lei. 

Prazo da comunicação 

Apesar da LGPD  apenas determinar que a comunicação do incidente  à ANPD e aos titulares dos dados pessoais afetados seja feita em “prazo razoável”, a Resolução nº 15 de 2024 da ANPD estabeleceu o prazo de três dias úteis do conhecimento do incidente pelo controlador para que a comunicação seja realizada, quando não houver norma específica que trate do tema². 

Um dos pontos de atenção sobre este prazo é o da comunicação de incidentes entre operadores e controladores dos dados, que restou sem regulamentação. Caso haja um incidente em uma empresa operadora de dados (como um servidor de nuvem), o dever de notificação recai sobre os controladores (que utilizam a nuvem para tratar dados pessoais). A pesquisa da IBM mostra que a ocorrência de uma violação de dados na cadeia de suprimentos pode aumentar seu custo em mais de US$ 200.000,00. Por isso, é importante que os contratos celebrados entre agentes de tratamento estabeleçam um prazo para que esta comunicação seja feita.

Conteúdo da comunicação

A comunicação à ANPD e aos Titulares precisa conter as seguintes informações, conforme a legislação de proteção de dados vigente: 

  • a descrição da natureza e da categoria dos dados pessoais afetados e os grupos de titulares envolvidos;
  • o número de titulares afetados, inclusive categorizando-os pelo número de crianças, de adolescentes ou de idosos;
  • o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente;
  • as medidas técnicas e de segurança utilizadas para proteção dos dados antes e depois do incidente, com exceção daquelas protegidas por segredos comercial e industrial; 
  • os riscos aos titulares relacionados ao incidente;
  • a data do incidente, caso seja conhecida;
  • informações do encarregado de proteção de dados pessoais;
  • a identificação do controlador e operador relacionados ao incidente, se for o caso;
  • os motivos da demora, no caso de a comunicação não ter sido feita no prazo de três dias; 
  • as medidas que foram ou que serão adotadas para mitigar os efeitos do incidente;
  • a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la.

Para que estas informações sejam levantadas tempestivamente, é importante que a organização esteja preparada. Nesse sentido, é salutar que o registro de operações de tratamento com dados pessoais esteja atualizado e os controles técnicos e administrativos de segurança implementados estejam mapeados. 

Divulgação pública do incidentes

Ao comunicar um incidente para a ANPD, é aberto processo administrativo para acompanhamento da resposta do incidente. Este processo é, por padrão, público. Para evitar que informações confidenciais ou sensíveis da organização se tornem públicas, o controlador deve justificar de forma fundamentada porque sua divulgação poderia representar uma violação de segredo comercial ou industrial.

Além disso, após a apuração do grau de risco ou dano do incidente, a ANPD pode exigir que seja feita uma ampla divulgação do incidente em meios de comunicação (como jornais de grande circulação). A Regulamentação nº 15 todavia estabeleceu esta exigência apenas  para os casos em que a comunicação prévia aos titulares for insuficiente para alcançar as pessoas afetadas ou quando a divulgação for necessária em razão da abrangência de atuação do controlador e da localização dos titulares.

Conclusão

Em conclusão, a preparação para a comunicação de incidentes de segurança envolvendo dados pessoais é essencial para garantir o cumprimento das obrigações previstas na LGPD e na regulamentação da ANPD. A adoção de um plano de resposta bem estruturado, que abranja processos claros e automatizados, tecnologias inovadoras apropriadas e a capacitação contínua das equipes, é fundamental para que as organizações possam agir de forma rápida e eficaz em caso de incidentes. 

Além de atender aos prazos e requisitos legais, essa preparação permite a mitigação de danos aos titulares de dados e minimiza os riscos operacionais e financeiros associados às violações de dados. Portanto, investir em soluções tecnológicas, automações e na formação dos profissionais envolvidos é uma estratégia imprescindível para lidar com os desafios da proteção de dados e garantir uma resposta adequada frente a possíveis incidentes de segurança.

–––––––––––––––––––––

¹ A pesquisa avalia o custo em quatro frentes: detecção, notificação, resposta pós-violação e perda de negócios. A metodologia completa da pesquisa está descrita na página 42, disponível em: https://www.ibm.com/account/reg/br-pt/signup?formid=urx-52913

² O BACEN, por exemplo, definiu na Resolução nº 342/2023 e nº 412/2023 que incidentes envolvendo dados do pix devem ser comunicados aos titulares mesmo que não que não acarretem risco ou dano relevante.