Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

foto sobre dever de notificação de incidentes de segurança de dados pessoais

Neste artigo, será analisada a definição dos incidentes de segurança à proteção de dados e os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão observados os principais aspectos da ISO 29.134/2017.

1. Introdução

A todo momento nos deparamos com notícias assustadoras sobre vazamento de dados pessoais, como o “mega vazamento” de dados de mais de 223 milhões de brasileiros em dois eventos diferentes. O primeiro evidenciou o acesso não autorizado de informações como nome, sexo e data de nascimento relacionadas ao Cadastro de Pessoa Física (CPF). O segundo evento consistia na comercialização ilegal de informações sobre a escolaridade, benefícios do INSS e programas sociais, renda, score de crédito, perfis de redes sociais e fotografias pessoais.[1]

A LGPD traz dentre os princípios para o tratamento de dados pessoais, o princípio da segurança (inc. VII do art. 6º), ou seja, a utilização de medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Deste dispositivo, podem-se extrair uma orientação para o que se entende por incidentes de segurança com os dados pessoais.

Além deste, o princípio da prevenção, estabelecido no inc. VIII do art. 6º, impõe a adoção de medidas para prevenir a ocorrência de danos decorrentes do tratamento de dados pessoais, por isso, basta uma simples suspeita de ocorrência do incidente de segurança, deve-se notificar o titular de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Por fim, o princípio da responsabilização e prestação de contas (accountability) exige dos agentes de tratamento de dados a demonstração de adoção de medidas eficazes e capazes de comprovar o cumprimento da LGPD (inc. X do art. 6º da LGPD).[2] Todos os princípios trazidos pela LGPD são igualmente importantes, todavia, quando se fala no “dever de notificação”, estes três princípios ganham papel de destaque.

O dever de notificação é a obrigação do agente de tratamento de dados (controlador e operador)[3] de informar o titular de dados, bem como a ANPD sobre a suspeita ou ocorrência confirmada de um incidente de segurança, observando, também, para esse mister o princípio da transparência previsto no inc. VI do art. 6º da LGPD, além da boa-fé objetiva (caput do art. 6º da LGPD).

Não basta apenas informar sobre os incidentes de segurança com dados pessoais, mas, além disso, deve-se adotar medidas eficazes para mitigar os danos aos quais os titulares de dados estarão expostos, bem como implementar medidas técnicas e organizacionais para evitar futuros incidentes de segurança, redobrando os cuidados com o tratamento de dados pessoais.

Para entender o dever de notificação, imposto no art. 48 da LGPD, deve-se compreender o que são os incidentes de segurança com dados pessoais.

2. O que são Incidentes de Segurança à Proteção de Dados?

Muito embora o art. 5º da LGPD não tenha trazido um conceito para incidentes de segurança, até porque seria praticamente impossível prever os possíveis acontecimentos adversos decorrentes do tratamento de dados pessoais, a parte final do inc. VII do art. 6º da LGPD traz alguns exemplos, a saber: “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

Ao regular o dever de notificação, a ANPD[4] traz um conceito:

Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais

Este conceito é exemplificativo, na medida que “qualquer evento adverso” é uma expressão que comporta uma diversidade de situações, além do uso da expressão “tais como”, antes dos exemplos mencionados pela ANPD.

Muitas destas possibilidades estão previstas na ISSO 29.134/2017.

2.1. ISO 29.134/2017

A ISSO 29.134/2017 traz algumas diretrizes para a análise de risco quando de elaboração do Relatório de Impacto à Proteção de Dados Pessoais, o que foi abordado no blog do IAPD.[5]

Os riscos mencionados na ISSO 29.134 são: – acesso não autorizado; – modificação não autorizada; – perda; – roubo; – remoção não autorizada; – coleção excessiva; – informação insuficiente sobre a finalidade do tratamento; – tratamento sem consentimento do titular dos dados pessoais (caso o tratamento não esteja previsto em legislação ou regulação pertinente); – falha em considerar os direitos do titular dos dados pessoais (ex. perda do direito de acesso); – compartilhar ou distribuir dados pessoais com terceiros sem o consentimento do titular dos dados pessoais; – retenção prolongada de dados pessoais sem necessidade; – vinculação / associação indevida, direta ou indireta, dos dados pessoais ao titular; – falha / erro de processamento (ex. execução de script de banco de dados que atualiza dado pessoal com dado equivocado, ausência de validação dos dados de entrada, etc.); e – reidentificação de dados pseudonimizados.

Os cinco primeiros itens estão bem alinhados com a definição trazida pela ANPD do que se pode considerar como incidentes de segurança. Entretanto, esta análise deve ser feita pelo agente de tratamento de dados, que tem de ser cauteloso para considerar “qualquer evento adverso” com os dados pessoais, que possa causar dano relevante aos titulares de dados.

3. O dever de notificação dos incidentes de segurança com dados pessoais

O art. 48 da LGPD traz uma obrigação clara ao controlador, qual seja, o dever de comunicar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados.

Muito embora o art. 48 tenha mencionado apenas o controlador, deve-se entender que tal dever se estende, também, ao operador, inclusive o art. 47 da LGPD obriga que os agentes de tratamento de dados (portanto, controlador e operador) garanta a segurança da informação. Assim, se o incidente de segurança ocorrer quando o operador realiza o tratamento de dados deverá comunicar à ANPD e ao titular de dados tal ocorrência.

Este entendimento pode ser confirmado pelo formulário disponibilizado pela ANPD, a seguir analisado, que tem a opção de indicar se quem está comunicando o incidente de segurança é o controlador ou o operador.

3.1. A Experiência do GDPR (Data Breach)

O art. 33 do Regulamento Europeu de Proteção de Dados[6] traz a obrigação do responsável pelo tratamento de dados notificar a respectiva autoridade de proteção de dados sem demora justificável, sempre que possível, em até 72 horas após ter tido conhecimento da violação dos dados pessoais. Caso não seja observado este prazo, deve-se demonstrar os motivos do atraso.

Importante notar que a não observância deste prazo pode determinar a imposição das sanções administrativos. Por exemplo, a Autoridade de Proteção de Dados da Irlanda, aplicou a multa de 450.000 euros ao Twitter por não ter este observado o art. 33 do GDPR:

The Irish DPA (DPC) fined Twitter International Company EUR 450,000 for violating Art. 33 (1) GDPR and Art. 33 (5) GDPR for failing to notify the DPA in a timely manner of a data breach and not adequately documenting that breach. The data breach concerned the privacy settings of user posts on the social media platform Twitter. There, users have the option to set the visibility of their posts to private or public. Private posts can only be seen by subscribers of the respective user profile, while public posts are visible to the public. A programming bug in Twitter’s Android app resulted in some private posts being visible to the public. The DPA found that Twitter had not properly fulfilled its reporting and documentation obligations. Twitter’s legal team became aware of the error on January 2nd, 2019, and it was not until January 8th that the company informed the DPC. Consequently, the company failed to inform the DPC within the 72-hour period required by Art. 33 (1) GDPR. Furthermore, it had failed to adequately document the incident in accordance with Art. 33 (5) GDPR.

A notificação deve:

  1. Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais;
  • Comunicar o nome e os contatos do encarregado da proteção de dados ou de outras formas que possam oferecer mais informações;
  • Descrever as consequências prováveis da violação de dados pessoais;
  • Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso, medidas para atenuar os seus eventuais efeitos negativos.

Além da comunicação feita à Autoridade de Proteção de Dados, o art. 34 do GDPR obriga a comunicação do incidente de segurança ao titular de dados sem demora justificada, não estabelecendo um prazo para tanto. A comunicação deve adotar linguagem clara e simples ao descrever a natureza da violação dos dados pessoais, além de informar o contato do encarregado ou de como pode obter mais informações (“b”), as consequências prováveis (“c”) e as medidas adotadas para mitigar os riscos aos quais o titular de dados está exposto (“d”).

No entanto, tal comunicação é dispensada se ocorrer uma das situações previstas no item “3” do art. 34 do GDPR, quais sejam: – se as medidas técnicas e organizacionais aplicadas para a proteção pelo responsável pelo tratamento forem adequadas, especialmente se tais medidas tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a criptografia; – se o responsável pelo tratamento tiver tomado medidas após o incidente que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados não é suscetível de se concretizar; ou – implicar um esforço desproporcionado, hipótese em que o incidente de segurança deverá ser noticiado em canais de grande circulação (“comunicação pública”).

No GDPR, nem sempre o titular de dados deverá ser comunicado sobre os incidentes de segurança. Parece-nos que o fundamento para a notificação do incidente de segurança ao titular de dados é o elevado risco, até para que ele possa se acautelar. Na regulação inicial da matéria pela ANPD, não foi feita tal ressalva, nem tão pouco na LGPD, como veremos a seguir.

3.2. A Regulamentação do Dever de Notificação pela ANPD

A ANPD “regulamentou” o art. 48 da LGPD, estabelecendo diretrizes para o agente de tratamento de dados observar quando ocorrer um incidente de segurança. As orientações não vieram por resolução como determina o art. 51, inc. I do Regimento Interno da ANPD. No entanto, tais diretrizes foram disponibilizadas no site da ANPD.

Primeiro ponto de destaque é que a ANPD confirma o texto da LGPD que tal obrigação cabe ao controlador. No entanto, excepcionalmente, a comunicação pode ser feita pelo operador.

O dever de notificação dos incidentes de segurança é uma medida cautelosa, ou seja, basta a mera suspeita de violação dos dados pessoais.

Semelhantemente ao GDRP, o conteúdo da notificação compreende:

  1. Identificação e dados de contato do: responsável pelo tratamento de dados; encarregado de dados ou outra pessoa de contato; e a indicação se a notificação é completa ou parcial, esta quando for uma complementação de uma notificação já feita.
  2. Informações sobre o incidente de segurança com dados pessoais: Data e hora da detecção; Data e hora do incidente e sua duração; Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros; Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados; Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento; Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados; Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD; Resumo das medidas implementadas até o momento para controlar os possíveis danos; Possíveis problemas de natureza transfronteiriça; Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

[1] Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml, acesso em 18 de jun. 2021.

[2] Sobre os princípios trazidos pela LGPD, vide: POSSI, Ana Beatriz Benincasa. Os princípios que norteiam o tratamento de dados pessoais. Disponível em: https://iapd.org.br/os-principios-que-norteiam-o-tratamento-de-dados-pessoais/, acesso em 18 jun. 2021.

[3] LIMA, Cíntia Rosa Pereira de. Os agentes de tratamento de dados pessoais na LGPD. Disponível em: https://iapd.org.br/os-agentes-de-tratamento-de-dados-pessoais-na-lgpd/, acesso em 18 jun. 2021.

[4] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca, acesso em 18 jun. 2021.

[5] LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades – Parte 1. Disponível em: https://iapd.org.br/relatorio-de-impacto-a-protecao-de-dados/, acesso em 18 jun. 2021; ______. Relatório de Impacto à Proteção de Dados: Mitos e Verdades – Parte 2. Disponível em: https://iapd.org.br/relatorio-de-impacto-a-protecao-de-dados-parte-2/, acesso em 18 jun. 2021; Cf. SILVA, Julia Leal da. O Risco Como Resposta Para a Governança de Dados. Disponível em: https://iapd.org.br/risco-lgpd-direitos-dos-titulares/, acesso em 18 de jun. 2021.

[6] UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em: < https://eur-lex.europa.eu/eli/reg/2016/679/oj>, último acesso em 05 de maio de 2021.

+ posts

Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD. Advogada.

+ posts

Advogada e Docente da Faculdade de Direito de Ribeirão Preto - USP. Pós-Doutora pela Université Paris I Panthéon-Sorbonne. Academic Visitor da Faculty of Law of the University of Oxford. Doutora e Graduada em Direito pela Faculdade de Direito da USP.

Artigos relacionados

Respostas