Nos últimos meses o vazamento de dados pessoais vem tomado grande repercussão na mídia. As consequências negativas que essas ocorrências vêm trazendo, em escalas gigantescas, revelam-se a cada dia mais danosas e nefastas. Inúmeras pessoas têm estado em uma situação de impotência em face de exposições contínuas, sistemáticas e de grande proporção.
No início de 2021, por meio de uma operação do Supremo Tribunal Federal, foi constatado que os dados pessoais de mais de 220 milhões de brasileiros foram expostos em fóruns de internet, postos à venda por ciberpiratas. Dentre a vasta gama de referências às pessoas, estavam: nome, CPF, sexo, data de nascimento, veículos sob sua propriedade, empresas sob seu registro, escolaridade, benefícios e programas sociais, renda e até informações do LinkedIn.
Revela-se fundamental, portanto, que as os agentes envolvidos no tratamento dos dados dos titulares e aqueles que desejam o aprimoramento na utilização dos instrumentos fornecidos pela Lei Geral de Proteção de Dados - LGPD, aperfeiçoem-se no aprendizado dos conceitos apresentados pelo legislador.
Portanto, acerca dos procedimentos em caso de incidente de segurança, assim determina a lei:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Definição de incidente de segurança
A LGPD não traz uma definição acerca do que seria considerado um incidente de segurança. Sequer se dispõe a delimitar o que seria um incidente com potencial de dano aos titulares. Essas explicações, portanto, serão feitas pela Autoridade Nacional de Proteção de Dados - ANPD.
Em seu sítio eletrônico, por meio de nota publicada em 22/02/2021, acessível por meio deste link, a ANPD conceituou incidente de segurança como "qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais". Esse conceito guarda semelhança com aquele trazido pela General Data Protection Regulation - GDPR, aprovada em 2016 pelo Parlamento Europeu e em vigor desde 2018.
Prazo para realização da comunicação
Dado o relativo silêncio da LGPD acerca do prazo para a efetiva comunicação, o surgimento de um incidente de segurança ou mesmo de seu risco aos titulares, portanto, ensejaria ao controlador a responsabilidade de realizar os reportes em um prazo razoável (art. 48, § 1º). Esse prazo ainda não foi objeto de regulamentação por parte da Autoridade Nacional.
A já mencionada GDPR, por sua vez, torna explícito que o prazo de comunicação é de 72 horas a partir da descoberta do fato violador do sigilo de dados, a saber:
Art. 33, 1. Em caso de violação de dados pessoais, o responsável pelo tratamento deve, sem demora injustificada e, se possível, o mais tardar 72 horas após ter tido conhecimento, notificar a violação de dados pessoais à autoridade de supervisão competente nos termos do artigo 55.º , a menos que seja improvável que a violação de dados pessoais resulte em risco para os direitos e liberdades das pessoas físicas.
Assim, observa-se que mesmo estando pendente de regulamentação, há recomendação da ANPD para que a comunicação seja feita com a maior brevidade possível, no tempo indicado de dois dias úteis após a ciência do evento adverso e constatada a existência de risco relevante.
O que comunicar à ANPD
O art. 48, § 1º, estabelece como requisitos mínimos do comunicado:
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Para além das exigências iniciais estabelecidas no próprio instrumento legal, a Autoridade Nacional recomenda que o comunicado contenha ainda:
- A identificação e dados de contato da entidade ou da pessoa responsável pelo tratamento; do encarregado de dados ou outra pessoa de contato; a indicação se a notificação é completa ou parcial e, em caso de comunicação parcial, a indicação que se trata de uma comunicação preliminar ou de uma comunicação complementar.
- Demais informações acerca do incidente de segurança, tais como:
- Data e hora da detecção do incidente;
- Data e hora do incidente e a sua duração;
- Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros;
- Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
- Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;
- Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
- Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
- Resumo das medidas implementadas até o momento para controlar os possíveis danos;
- Possíveis problemas de natureza transfronteiriça;
- Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
O que comunicar aos titulares dos dados
O comunicado aos titulares dos dados deverá ser realizado sempre que o incidente de segurança representar um risco ou dano relevante a esses indivíduos. A lei, entretanto, não determina critérios objetivos quanto ao conteúdo do comunicado aos titulares, quando houver, limitando-se a determinar a sua obrigatoriedade. Tal coisa, portanto, deverá ser objeto de regulamentação.
Meio de realização do reporte à ANPD
Conforme orientações da própria ANPD, o comunicado deverá ser realizado por meio eletrônico. Maiores informações sobre o procedimento estão disponíveis neste link.