Fernando Bousso, sócio e head de Privacidade e Proteção de Dados da Baptista Luz Advogados
Especialista explica as medidas de prevenção apontadas pela LGPD, assim como as sanções para quem não cumprir as normas de segurança
No último dia 21 de outubro, um incidente no banco de dados da plataforma Hariexpress, que integra marketplaces de diversas empresas, expôs cerca de 1,75 bilhão de dados pessoais de usuários. Uma configuração incorreta na base de dados da empresa tornou pública informações que incluem nomes, telefones e endereços de vendedores e clientes.
Apesar de a Lei Geral de Proteção de Dados Pessoais, a LGPD, não estabelecer uma definição do que seria um incidente de segurança, a sua fonte inspiradora, a General Data Protection Regulation (Regulamento Geral de Proteção de Dados, em livre tradução – ou GDPR), norma da União Europeia define como: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Portanto, trata-se de um evento que pode ocorrer de diversas maneiras e ir muito além de um pequeno erro temporário. Além da violação de privacidade, existem muitas consequências possíveis que podem, inclusive, colocar a vida de pessoas, negócios e governos em risco a depender de quem tiver acesso aos dados vazados ou a que tipo de informação tiverem alcance.
Desse modo, a LGPD, apesar da ausência de uma definição específica, possui regras características de prevenção e resposta para casos de incidentes como esses. “A LGPD estabelece que os controladores e o operadores de dados devam adotar formas de proteger os dados pessoais que tratam”, explica Fernando Bousso, sócio e head de Privacidade e Proteção de Dados da Baptista Luz Advogados. “O controlador pode responder pelos danos decorrentes da violação da segurança dos dados caso deixe de adotar as medidas de segurança adequadas”.
Além disso, a LGPD também aponta como norma a entrega do relatório de impacto à proteção de dados pessoais, conhecido também como DPIA – sigla em inglês para avaliação de impacto à proteção de dados. “O relatório visa documentar as atividades de tratamento de dados de um produto ou serviço específico, buscando compreender quais são os demais agentes envolvidos, os riscos atrelados, as medidas técnicas, administrativas e organizacionais que devem ser implementadas e, conforme o caso, o risco residual que será assumido pela empresa”, afirma Bousso.
O que fazer em caso de um incidente?
Caso seja constatado um incidente de segurança os passos a serem tomados são de extrema importância para não agravar a situação. “Quando o incidente puder acarretar risco ou dano relevante para os titulares, o controlador deve informar a sua ocorrência à autoridade nacional e aos titulares”, alerta o advogado. “O aviso deve ser feito dentro de um prazo razoável e apresentar as informações relevantes sobre o fato, como a descrição da natureza dos dados afetados e os riscos relacionados ao incidente”, completa.
Diante disso, conforme o parágrafo dois do artigo 48, a autoridade nacional verificará a gravidade do incidente e poderá determinar ao controlador a adoção de providências, como ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente. “Quando a autoridade investigar a gravidade do ocorrido, o nível de segurança conferido ao tratamento de dados será levado em conta para determinar se haverá ou não a aplicação de alguma sanção”, finaliza Bousso.