top of page
Buscar

Entenda a LGPD | Incidentes de segurança com dados pessoais

Atualizado: 17 de jun. de 2021

Para estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), os agentes de tratamento, controlador e operador, devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.


Contudo, mesmo com todos os esforços para proteger a privacidade dos dados pessoais, falhas e incidente poderão ocorrer. Por isso, a LGPD define como os agentes devem proceder nos casos de incidentes de segurança de dados pessoais.



O QUE É UM INCIDENTE DE SEGURANÇA?


Primeiro, é preciso entender que um incidente de segurança da informação é qualquer situação que deixe os ativos da organização vulneráveis. Pode ser um documento confidencial esquecido na impressora, uma porta com acesso externo à organização com problemas na tranca ou um documento, físico ou virtual, que desapareceu.


Um incidente de segurança com dados pessoais ocorre quando os dados dos titulares ficam vulneráveis, seja por conta de um vazamento acidental de um banco de dados, um erro em uma página web que permite acesso de pessoas não autorizadas a dados pessoais, a perda de um prontuário médico ou um funcionário mal-intencionado que venda os contatos dos clientes a terceiros.


Quando ocorrer um incidente de segurança com dados pessoais que possa acarretar risco ou dano relevante aos titulares é dever do controlador comunicar à Autoridade Nacional (ANPD) e ao titular a ocorrência do incidente. Por isso, é importante que a organização estabeleça um procedimento que estimule as pessoas a reportarem incidentes, para que as devidas providenciais sejam tomadas e as deficiências sejam corrigidas.



GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO


A organização que faz a gestão correta dos incidentes de segurança, terá uma pessoa responsável ou uma central que receberá as notificações, avaliará se foi de fato um incidente de segurança e direcionará o plano de resposta. Por isso, após o incidente ser notificado, deve-se apurar os fatos para estabelecer a sua causa; implantar medidas para minimizar as consequências imediatas; determinar a necessidade de medidas corretivas para prevenir a reincidência e; definir o que será reportado e a quem.



COMUNICANDO UM INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS


A LGPD indica que a comunicação de um incidente de segurança deve ser feita em prazo razoável e mencionar, no mínimo:

  • a descrição da natureza dos dados pessoais afetados;

  • as informações sobre os titulares envolvidos;

  • a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

  • os riscos relacionados ao incidente;

  • no caso de a comunicação não ter sido imediata, indicar os motivos da demora;

  • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.



O PAPEL DA AUTORIDADE NACIONAL


A Autoridade Nacional (ANPD) verificará a gravidade do incidente e poderá, caso necessário para a proteção e garantia dos direitos dos titulares, determinar ao controlador a adoção de providências, como a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.


Para análise da gravidade do incidente, um dos pontos que será avaliado é a comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados não legíveis para terceiros não autorizados a acessá-los. Isto demonstra como é importante que a organização haja sempre preventivamente reduzindo o impacto do risco, caso um incidente ocorra.



SANÇÕES E MULTAS


Em caso de descumprimento da lei, a Autoridade Nacional poderá aplicar desde uma advertência até multa simples, de até 2% do faturamento da organização no seu último exercício, limitada ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.


A ANPD também pode exigir a publicização da infração, isso significa que a organização precisará informar publicamente, em veículos de comunicação adequados, sobre o fato ocorrido. Além disso, em determinadas situações poderá ser solicitado o bloqueio dos dados pessoais a que se refere a infração até a sua regularização ou, até mesmo, a eliminação destes dados.


Nos casos mais graves, em que já tenha recebido uma sanção, mas se verifique que a organização não conseguiu adotar medidas suficientes para evitar novos incidentes de segurança, a Autoridade Nacional poderá pedir a suspensão parcial do funcionamento do banco de dados a que se refere a infração, a suspensão do exercício da atividade de tratamento dos dados pessoais, ou, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


É importante ressaltar que as penalidades impostas pela ANPD não anulam outras eventuais penalidades que possam ser aplicadas conjuntamente por outros órgãos de fiscalização, afinal o incidente também pode estar vinculado a sanções administrativas, civis ou penais.


As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa do agente de tratamento, de acordo com as peculiaridades do caso concreto e considerados os seguintes critérios:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados, assim como o grau do dano;

  • a boa-fé do infrator e a vantagem auferida ou pretendida por ele;

  • a condição econômica do infrator e a cooperação do infrator com a Autoridade Nacional;

  • a reincidência do incidente;

  • a adoção demonstrada de medidas técnicas e administrativas, procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, bem como a adoção de política de boas práticas e governança;

  • a rápida adoção de medidas corretivas; e

  • a proporcionalidade entre a gravidade do incidente e a intensidade da sanção.



Mesmo as organizações mais avançadas na implantação de medidas de segurança, estão vulneráveis a incidentes de segurança. Por conta disso, a pior coisa a ser feita para prevenir incidentes de segurança é não fazer nada.


A própria LGPD indica que avaliará a situação do infrator considerando sua a boa-fé, adoção de boas práticas e medidas preventivas, bem como a rápida adoção de medidas corretivas para minimizar os danos ao titular. Além do mais, também considerará a reincidência do incidente, ou seja, empresas que coloquem em risco os dados dos titulares por conta de incidentes já reportados, sofrerão sanções ainda mais graves.


Por último, vale lembrar que a implantação de medidas de segurança da informação envolve um conjunto de medidas técnicas e organizacionais, como a Política de mesa limpa e tela limpa que já tratamos em outro artigo, nem sempre possuem um alto custo financeiro para serem implantadas. Além disso, o custo com um incidente de segurança, pode ser ainda mais caro do que a adoção de uma medida preventiva. Então, vale a pena correr o risco de não fazer nada?

Caso precise de ajuda, a Total Privacy é uma consultoria especializada em assessorar as organizações na implantação do plano de adequação à Lei Geral de Proteção de Dados Pessoais. Envie um e-mail para contato@totalprivacy.com.br e agende uma conversa com nossos consultores.

Julio Cesar Segantini

Consultor de Privacidade e Proteção de Dados Pessoais da Total Privacy

bottom of page