A famigerada Lei Geral de Proteção de Dados, conhecida pela sigla LGPD, prevê algumas obrigações que devem ser cumpridas atentamente, no que diz respeito à prevenção de incidentes com dados de pessoas.

Dentre essas obrigações, o art. 46 da lei prevê que toda empresa deve adotar medidas de segurança, tanto técnicas quanto gerenciais, que sejam aptas a proteger dados pessoais contra acessos não autorizados, bem como contra destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Ou seja, toda organização precisa adotar, de forma orgânica e vinculada à sua estrutura operacional, políticas, ferramentas e processos que se mostrem adequados para prevenir qualquer tipo de incidente, como vazamentos ou mesmo o tratamento incorreto de dados pessoais.

Entretanto, a mesma LGPD não delimita nem conceitua quais os tipos de medidas que devem ser adotadas. Essa omissão, ao mesmo tempo em que deixa margem de autonomia para que os próprios empresários definam como estruturar sua governança de dados, acaba gerando também insegurança do ponto de vista jurídico, pois a efetividade das medidas adotadas somente poderá ser averiguada no caso concreto.

Dito de outro modo, uma empresa que realiza tratamento de dados pessoais somente será considerada segura enquanto não ocorrerem “acessos não autorizados” ou não acontecerem os incidentes de “destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Isso quer dizer, de alguma maneira, que o empresário saberá que suas medidas de segurança não eram eficazes, por exemplo, só depois que o incidente ocorrer, o que torna ainda mais necessário o gerenciamento dos riscos envolvidos. Afinal, como os riscos nunca poderão ser eliminados, mas precisam ser minimizados e gerenciados. Essa é a função das medidas de segurança da informação.

Até porque a LGPD também prevê explicitamente que “os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término” (art. 47).

Portanto, os riscos de segurança digital, longe de serem apenas uma questão ligada ao interesse interno da empresa (para evitar ataques financeiros, perdas de propriedade intelectual, interrupção de serviços etc.), passam a ser reforçados pela LGPD como obrigação junto ao próprio titular dos dados.

Até mesmo porque, além do tratamento irregular ter como consequência as sanções administrativas previstas na lei (multa, advertência etc.), a empresa que causar algum prejuízo, ao titular ou terceiro, por conta do tratamento irregular dos dados deverá responder pela indenização.

Assim sendo, a organização que não atuar em conformidade com a LGPD ou que não prover a devida segurança informacional poderá responder tanto perante a fiscalização (sanções administrativas) quanto perante aquele que for prejudicado (indenização judicial).

Certamente, caberá ao empresário decidir qual o nível de risco a ser tolerado em relação às questões levantadas, mas não se pode negar o impacto negativo que o descumprimento da LGPD e das medidas de segurança podem trazer.

Gabriel B. Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD .