Nos últimos meses, com o avanço da LGPD, houve um aumento no número de casos noticiando grandes volumes de vazamento de dados, o que vêm causando muita insegurança e apreensão nos titulares de dados.
A ANPD (Autoridade Nacional de Proteção de Dados Pessoais) entende que as empresas e órgãos públicos devem compartilhar mais informações sobre o assunto, bem como explicar com detalhes como os agentes de tratamento procederão em caso de vazamento de informações.
Via de regra, a Lei Geral de Proteção de Dados determina que seja informado à ANPD e aos titulares sobre a ocorrência do vazamento de dados, assim que os responsáveis tomarem ciência do ocorrido.
Você pode pensar que os casos de exposição de informações pessoais que ocorreram antes da LGPD entrar em vigor, isentam as empresas de responsabilidade, porém isso não é verdade. Antes da efetiva publicação da Lei, já haviam mecanismos de proteção às pessoas que tinham suas informações violadas.
A LGPD veio para regulamentar o tratamento e punir qualquer espécie de violação nos dados pessoais dos titulares, também trouxe a criação da ANPD e instituiu multas, ainda que efetivadas somente no dia 1.º de agosto de 2021. Sendo assim, diversas investigações estão sendo executadas pelo órgão para minimizar o impacto de vazamento de dados.
Hoje, os titulares de dados podem recorrer à autoridade reguladora quando conseguem identificar a fonte que expôs as suas informações, também podem entrar em contato direto com a organização controladora e questionar se seus dados estão entre os divulgados, bem como exigir que especifiquem quais deles foram vazados.
Quais são os agentes envolvidos no tratamento de dados pessoais?
Os principais atores no tratamento de dados pessoais conforme a LGPD são quatro:
- Titular: Dono das informações pessoais (pessoa física/pessoa natural) é ele que deve dar o consentimento para seus dados serem tratados;
- Controlador: É o responsável pela coleta, utilização, armazenamento, uso e a finalidade das informações cedidas pelo titular;
- Operador: Trata todos os dados coletados, seguindo as ordens do controlador. Normalmente esse trabalho é executado por empresas terceirizadas (parceiras);
- Encarregado (DPO): Ele é a ponte de comunicação entre todos que fazem parte do processo e a ANPD, é responsável pela orientação da equipe sobre quais práticas devem ser seguidas conforme as diretrizes da LGPD.
Um ponto importante a destacar é que o controlador e o operador são responsabilizados diretamente caso haja alguma infração às regras da Lei Geral de Proteção de Dados. Esse mecanismo de responsabilização se chama: responsabilidade solidária, na qual um pode responder em conjunto com o outro, ou seja, ambos parceiros sofrerão as mesmas punições, caso comprovada a culpa pelo vazamento.
Por isso, é importante que sua empresa tenha um contrato bem elaborado por um advogado especializado em LGPD. O documento deve conter as informações necessárias que delimitam as obrigações de cada agente de tratamento.
Incidente de segurança com dados pessoais: o que é e como funciona?
Um incidente de segurança com dados pessoais pode ser considerado qualquer episódio relacionado à violação de informações particulares dos titulares de dados.
Um exemplo, é quando há casos de acessos não autorizados a esses dados e, em decorrência disso, acontece perda de informações, alterações, exclusões ou mesmo divulgações, que possam vir a gerar riscos para a liberdade e direito dos titulares.
A própria LGPD por meio do artigo 47, prevê que os agentes de tratamento devem adotar medidas de segurança, da administração à parte técnica, com o fim de proteger os dados pessoais.
Quais são as orientações da ANPD nesses casos?
A ANPD orienta que os agentes de tratamento de dados, sigam as seguintes instruções:
- Avaliar o cenário do incidente: qual a quantidade de dados afetados, natureza e categoria. Após, é preciso preencher um formulário de avaliação de situação, que se encontra no próprio site da ANPD;
- Conforme o artigo 5º da Lei Geral de Proteção de Dados, comunicar a ANPD e logo após, os titulares de dados;
- Elaborar um documento contendo toda a avaliação do incidente, quais as medidas que foram tomadas para conter o problema e qual o resultado da análise de risco, para fins de responsabilização e prestação de contas.
A comunicação às partes envolvidas é obrigatória e todo esse processo precisa ser acompanhado por um advogado especialista em LGPD. Ele analisará corretamente as informações e buscará uma resolução efetiva para a empresa.
Para você entender melhor, vamos analisar uma situação hipotética:
Ana solicitou um empréstimo em uma financeira menor e menos conhecida no mercado, as soluções apresentadas pela empresa eram muito diferentes das fintechs atuais, por isso ela optou por fechar negócio.
Algum tempo depois, uma brecha na segurança do servidor da empresa contratada, propiciou a invasão de um Hacker que vazou na rede todos os dados pessoais dos clientes, inclusive os de Ana.
A empresa não passou por uma análise para implementação da LGPD de forma correta, não possuía orientação profissional, medidas de segurança ou protocolos a serem seguidos para evitar situações assim.
Por lei, a financeira deveria notificar todos os agentes envolvidos no processo de tratamento de informações, comunicar à ANPD e aos titulares de dados, assim como a ANA sobre o vazamento de dados.
Além disso, seria preciso elaborar um documento para demonstrar sua responsabilidade pelo incidente e informar os próximos passos para a resolução da situação. Todavia, seguir esses passos não eximem a fintech de punições com sanções administrativas ou até mesmo que tenha suas atividades encerradas.
Fora isso, Ana e os demais titulares de dados podem se sentir lesados e implicarem judicialmente a fintech pela ausência de preparo nessas situações, assim como pelo descumprimento das regras da LGPD.
Se a financeira tivesse realizado um diagnóstico prévio, contasse com um profissional experiente e conhecedor sobre as práticas de tratamento de dados e houvesse feito uma implementação LGPD de forma correta, a probabilidade desse incidente de segurança ter acontecido seria mínima.
O que é preciso para comunicar à Autoridade Nacional de Proteção de Dados (ANPD)?
Em caso de incidentes como esse que culminam em vazamento de dados, é preciso transmitir à ANPD as informações que estão presentes no formulário de comunicação de incidentes de segurança com dados pessoais, disponibilizado pelo órgão. Ele precisa conter:
- Identificação e dados de contatos de todos os envolvidos no processo de tratamento de dados;
- Informações sobre o incidente de segurança de dados pessoais de forma detalhada;
- Possíveis consequências do incidente, assim como medidas implementadas até o momento para controlar a situação.
Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.
Não siga o exemplo de algumas empresas que ainda não fizeram sua adequação de forma correta, faça o diagnóstico do seu negócio comigo! Eu vou detalhar todos os pontos que podem ser implantados e aprimorados para evitar que incidentes dessa natureza aconteçam.
