O que diz a ANPD sobre incidentes de segurança

Os agentes de tratamento já podem contar com orientações preliminares quanto ao exercício do dever de comunicação imposto pela LGPD/ Pixabay
Opinião
Os agentes de tratamento já podem contar com orientações preliminares quanto ao exercício do dever de comunicação imposto pela LGPD/ Pixabay
Por
José Mauro Decoussau Machado e Daniela Seadi Kessler*
March
22
/ 2021

Compartilhar no RRSS

Para receber nossa newsletter diária
inscreva-se aqui!
Cuidado deve ser redobrado quando o incidente envolver dados sensíveis ou de pessoas em situação de vulnerabilidade.
Fecha de publicación: 22/03/2021
Etiquetas: incidentes de segurança, ANPD, LGPD, Proteção de dados, Brasil

Para receber nossa newsletter diária inscreva-se aqui!

 

A Autoridade Nacional de Proteção de Dados (ANPD) anunciou o início do processo de regulamentação e tomada de subsídios sobre a notificação de incidentes de segurança que possam acarretar risco ou dano relevante a titulares de dados pessoais, bem como publicou o formulário de comunicação dos referidos incidentes. A iniciativa constou da agenda regulatória do órgão que prevê o início do processo de regulamentação ainda para o primeiro semestre deste ano.

 

A agilidade da ANPD em apresentar as diretrizes para a comunicação prevista na Lei Geral de Proteção de Dados Pessoais (LGPD) demonstra a seriedade com que o órgão está tratando a questão e faz transparecer a sua urgência, especialmente frente ao crescimento exponencial do número de incidentes de vazamento de dados. 

 

O mais importante é que, a partir deste momento, embora ainda pendente a regulamentação, os agentes de tratamento já podem contar com orientações preliminares quanto ao exercício do dever de comunicação imposto pela LGPD.

Leia também: Desafios para adequar o ensino remoto à LGPD

Dentre as orientações trazidas pela ANPD, destaca-se o prazo de dois dias úteis a contar da ciência do incidente de segurança, como tempo considerado razoável para a sua comunicação pelos controladores de dados pessoais.

 

A explicação dada pela ANPD para a adoção do referido prazo – mais exíguo que o de 72 horas concedido pela legislação europeia (o General Data Protection Regulation) – ampara-se no Decreto n.º 9936/2019, regulamentador da Lei do Cadastro Positivo (Lei n.º 12.414/2011). Tal decreto, em seu artigo 18, já previa o referido prazo para comunicação de incidentes.

 

Quanto a esse aspecto, vale ponderar se, para toda e qualquer situação, dois dias úteis seriam um prazo adequado. Os incidentes variam muito em função de diferentes elementos, como sistemas, software, volume de dados, dados armazenados apenas no Brasil ou também no exterior, entre outros. Ou seja, é absolutamente factível, de acordo com especialistas do setor, que a simples confirmação do incidente leve muito mais que os dois dias indicados pela ANPD.

  

A questão, porém, ainda será objeto de análise e eventual aprimoramento, levando-se em consideração as informações obtidas através da tomada de subsídios para, então, ocorrer a regulamentação através dos meios próprios. Ainda que não seja uma regulamentação na acepção estrita do termo, os esclarecimentos indicam um norte a ser utilizado pelo mercado na ocorrência de incidentes.

 

A ANPD deixou claro também que a comunicação será levada em conta para fins de eventual fiscalização, como medida de transparência e boa-fé. Ainda recomenda aos controladores que, na condição de responsáveis e obrigados pela comunicação, assumam uma postura preventiva e conservadora, comunicando incidentes mesmo nos casos de mera suspeita acerca dos riscos e danos envolvidos, já que a subavaliação da situação pode, em tese, acarretar o entendimento de que houve descumprimento da LGPD.

 

Cabe aqui a mesma ponderação feita acima: a mera suspeita de um incidente cuja relevância ainda é desconhecida justificaria a notificação à ANPD? Isso não pode ensejar uma verdadeira enxurrada de notificações à ANPD, sem que o órgão possa se concentrar em incidentes efetivamente relevantes, como estabelece a LGPD? Essa é uma crítica que parece justificada, já que a própria LGPD restringe o dever de comunicação a incidentes de maior gravidade (capazes de gerar risco ou dano relevante aos titulares dos dados pessoais), e o excesso de notificações pode consumir, desnecessariamente, os já escassos recursos da ANPD.

 

De acordo com a ANPD, o cuidado deve ser redobrado quando o incidente envolver dados sensíveis ou de pessoas em situação de vulnerabilidade, dentre as quais crianças e adolescentes, e também para casos que potencialmente possam ocasionar danos materiais ou morais, como discriminação, violação do direito de imagem e/ou reputação, fraudes financeiras e roubos de identidade. Serão levados em consideração a quantidade de titulares e de dados envolvidos no incidente, a boa-fé e intenções dos terceiros que tiveram acesso aos dados em razão do incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

 

A comunicação deve ser feita por meio de formulário eletrônico disponibilizado no próprio site da ANPD e enviada através do Peticionamento Eletrônico – Usuário Externo (SEI).

 

Quanto ao conteúdo da comunicação, que deve observar o que está previsto no artigo 48 da LGPD e no formulário de comunicação de incidentes de segurança, a ANPD orientou pela prestação das informações de forma clara e concisa.

 

A ANPD também orienta que seja informado, no momento da comunicação preliminar, se haverá o fornecimento de informações posteriores e os meios para obtê-las. Além disso, informações adicionais podem ser requeridas pelo órgão a qualquer momento.

 

Para fins de avaliação interna, pelo controlador, da relevância do risco ou dano do incidente de segurança que justifique uma comunicação à ANPD e ao titular, o órgão sugere a avaliação baseada em respostas a duas perguntas singelas sobre a efetiva ocorrência do incidente e o potencial de dano causado aos envolvidos.

 

Certo é que, mesmo que alguns pontos ainda dependam de regulamentação, os documentos e diretrizes divulgados pela ANPD cumprem o papel de servir como orientação inicial aos controladores e aos titulares de dados.

Veja também: A LGPD é ESG?

Neste momento, o que parece fundamental para empresas envolvidas em incidentes de segurança é que todas as decisões sejam baseadas nos princípios da LGPD e devidamente documentadas, tudo com o propósito de justificar, se e quando necessário, o porquê dos caminhos adotados. Em um cenário de incerteza, demonstrar preocupação em registrar as medidas tomadas para identificar o problema, eliminar e/ou mitigar riscos e avaliações feitas por especialistas será fundamental para elidir responsabilidades.

 

Justamente por isso, aliás, empresas também devem estar atentas à tomada de subsídios, eis que se mostra um instrumento importante para a regulamentação adequada do tema, ao mesmo tempo que haja a promoção do diálogo sadio entre diferentes stakeholders.

 

*José Mauro Decoussau Machado é sócio de tecnologia do Pinheiro Neto Advogados. Daniela Seadi Kessler é associada de tecnologia do escritório.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

O conteúdo da © LexLatin, incluindo todas as suas imagens, ilustrações, designs, fotografias, vídeos, ícones e material escrito, é protegido por direitos autorais, marcas registradas e outros direitos de propriedade intelectual, e é publicado para seus assinantes e leitores apenas para fins informativos. A reprodução, modificação, cópia, distribuição, republicação, transmissão, projeção ou exploração de qualquer forma dos materiais ou conteúdo publicado pela LexLatin não é permitida, a menos que o interessado obtenha a autorização por escrito da LexLatin.