O Brasil frequentemente ocupa as primeiras posições no ranking mundial de ataques cibernéticos, o que representa grave prejuízo à atividade econômica no país. Nesse sentido, a adoção de medidas preventivas de segurança da informação são indispensáveis para minimizar os riscos de empresas e órgãos públicos sofrerem ataques críticos, que possam levar até mesmo à paralisação das suas atividades.
Além dos incontáveis prejuízos financeiros e reputacionais para a entidade atacada, os incidentes de segurança também representam um risco às pessoas que têm seus dados expostos. Nesta esteira, a Lei Geral de Proteção de Dados (LGPD) determina que, em caso de incidente de segurança com dados pessoais, o controlador – responsável pelo tratamento dos dados – deve notificar a Autoridade e apresentar, pelo menos, as seguintes informações:
Art. 48, § 1° […]
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
A Lei delega a competência para regulamentar aspectos relevantes sobre a notificação do incidente à Autoridade Nacional de Proteção de Dados (ANPD), como a definição do que é incidente de segurança, prazo para a comunicação ser realizada, meio de notificação, obrigatoriedade de notificação dos titulares de dados, dentre outros pontos.
Atualmente, a ANPD indica orientações sobre a notificação de incidentes em seu website, incluindo o formulário que deve ser preenchido pelo controlador. Considerando a relevância do tema, a Autoridade pretende regulamentar a questão por meio de uma resolução.
No dia 23 de maio, a Autoridade realizou audiência pública para debater a minuta da resolução que deverá regulamentar a notificação de incidentes de segurança com dados pessoais. Além da audiência, a Autoridade abriu canal para apresentação de sugestões pela sociedade quanto ao teor da minuta em discussão. Ursula Almeida, sócia da Boiteux Advogados, participou da audiência para apresentar sugestões de aprimoramento da resolução.
O ponto de maior divergência na audiência pública em relação à resolução é o prazo de 3 (três) dias úteis para notificar o incidente à Autoridade, com amplo rol de informações, e notificar os titulares (pessoa natural, ou física, afetada pelo incidente) no mesmo prazo se houver “risco ou dano relevante”. De forma geral, os dois primeiros dias posteriores à descoberta do incidente é um momento crítico para adoção das medidas técnicas e organizacionais para reduzir danos e garantir a continuidade das atividades do controlador. Argumentou-se que o levantamento de um conjunto amplo de informações para a Autoridade e a decisão sobre a notificação do titular em apenas 3 (três) dias é inviável na prática e, dessa forma, pode levar muitas entidades que sofrerem um incidente a serem penalizadas com multas e outras penalidades da LGPD.
Considerando a organização da audiência por ordem alfabética do nome dos inscritos, a sócia Ursula apresentou suas sugestões na parte final da audiência em caráter complementar aos pontos debatidos pelos expositores anteriores:
- Na comunicação de incidente de alto risco aos titulares, a minuta da ANPD prevê que a recomendação de medidas pelo próprio titular para reduzir os efeitos negativos do incidente é considerada boa prática para fins de dosimetria da penalidade. Assim, por exemplo, a orientação ao titular para alterar senha ou não acessar determinado aplicativo afetado pelo incidente, pode ser um fator para reduzir a multa do controlador. Ocorre que, se for possível o titular adotar alguma medida para reduzir os danos decorrentes do incidente, a orientação quanto à sua adoção deveria constar obrigatoriamente na notificação do incidente;
- A resolução deveria ser mais clara em relação ao procedimento que deverá ser seguido pela Autoridade caso entenda que a notificação aos titulares não foi realizada de forma correta pelo controlador;
- A falta injustificada de comunicação de incidente de segurança de alto risco em prazo razoável pelo controlador à Autoridade deveria ser considerada falta grave na dosimetria da penalidade prevista na LGPD, pois há violação à boa-fé e aos princípios da transparência, responsabilização e prestação de contas;
|
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.
|