Na última segunda-feira (22/02), a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou diretrizes acerca do procedimento a ser tomado por controladores de dados sempre que for possível identificar algum incidente de segurança de dados pessoais capaz de gerar prejuízos aos seus titulares.
De acordo com a Autoridade, um incidente de segurança de dados é “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
Em casos como esse, a Lei Geral de Proteção de Dados (“LGPD”) prescreve que o controlador de dados deverá comunicar a ANPD acerca do ocorrido, “em prazo razoável” e sempre que o incidente possa “acarretar risco ou dano relevante aos titulares”. Recomenda-se que os controladores substanciem essa notificação com informações claras e concisas a respeito do incidente, tais como:
• identificação e contato da entidade ou pessoa responsável pelo tratamento dos dados afetados pelo incidente;
• data e hora da detecção do incidente e sua duração;
• circunstâncias em que ocorreu a violação;
• descrição dos dados afetados;
• análise das possíveis consequências; e
• resumo das medidas de segurança implementadas para evitar incidentes desse tipo ou para reparar eventuais danos causados aos titulares de dados.
Apesar da obrigatoriedade da notificação, a ANPD reconhece que os critérios previstos na LGPD para classificar a gravidade incidente de segurança são pouco claros, além de não haver prazo determinado para o envio da comunicação. Para remediar essas incertezas, além das diretrizes básicas publicadas, foi instaurado processo de tomada de subsídios sobre o assunto ontem (22/02), por meio do qual a sociedade poderá contribuir com a Autoridade na formulação de diretrizes específicas para os casos de identificação de incidente de segurança de dados. Diante disso, a Autoridade receberá, até o dia 24/03/2021, contribuições sobre o tema de quaisquer interessados, sejam esses pessoas físicas, empresas, associações ou quaisquer outras entidades.
Por meio dessa tomada de subsídios, é possível sugerir à ANPD quais critérios deverão ser considerados na avaliação dos riscos atrelados ao incidente de segurança ocorrido, qual é a forma adequada de comunicar o incidente aos titulares dos dados afetados, qual é o prazo adequado para comunicar formalmente o incidente à ANPD, dentre outras questões.
As contribuições deverão seguir o modelo disponibilizado no site da Autoridade e ser enviadas em formato PDF para o e-mail consultapublica@anpd.gov.br com o assunto “Tomada de Subsídios 2/2021”.
A iniciativa da ANPD reforça a necessidade de adoção de programa de compliance em proteção e segurança de dados bem estruturado, que prescreva como o controlador de dados deverá agir em casos de incidentes de segurança, como o “megavazamento” de origem desconhecida, ocorrido em janeiro deste ano, em que foram expostos dados de 223 milhões de brasileiros, entre empresas e pessoas físicas.
Muito embora as disposições da LGPD referentes às penalidades que poderá a ANPD impor nos casos de tratamento indevido de dados só entrem em vigor em agosto de 2021, em razão da Medida Provisória n.° 959/2020, a atuação vigilante às determinações da LGPD já se faz importante.
Nesse contexto, a adoção de um programa de compliance em proteção e segurança de dados poderá ser utilizado não apenas como um importantíssimo diferencial de mercado, mas também como medida de proteção ao responsável pelo tratamento de dados pessoais no âmbito de determinada empresa ou entidade, em eventual processo administrativo sancionador movido perante a ANPD. Nos termos do artigo 52, §1°, da LGPD, um dos critérios a serem observados pela ANPD na imposição de sanções administrativas aos controladores de dados será justamente a adoção prévia de programa de compliance que prescreva medidas preventivas e reparatórias em casos de incidentes de segurança de dados.