Como já dito em outras oportunidades, não existe segurança 100% e precisamos nos prevenir com relação a incidentes de segurança e violações de dados pessoais. Não é uma receita de bolo, mas diversas boas práticas podem ser aplicadas, a fim de eliminar ou atenuar os riscos.
Obviamente, atuar preventivamente é o melhor caminho, a fim de cumprir as legislações vigentes e aplicáveis e evitar prejuízos e exposições. Dispõe o artigo 46 da LGPD: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
No entanto, mesmo com todos os cuidados, podem ocorrer incidentes e violações, e é fundamental que a organização consiga agir de forma rápida quando da ocorrência de qualquer problema.
Comunicação de incidentes
Em 23 de dezembro de 2023, a ANPD (Autoridade Nacional de Proteção de Dados) divulgou o novo formulário para a comunicação de incidentes (CIS). O referido formulário parece mais organizado, com diversos checkbox e campos de livre digitação.
Destaques interessantes: traz a opção de agente de pequeno porte, já considerando a Resolução nº 02/2022 da ANPD; informa que a documentação comprobatória deve ser protocolada junto com o formulário; dá a opção de colocar os dados do operador; pede o detalhamento da comunicação aos titulares de dados pessoais; traz um campo para indicar as medidas de segurança adotadas; sugere o prazo de 02 (dois) dias úteis para a comunicação.
Entendemos que a ampliação e o detalhamento do formulário eram necessários e foram bem aplicados. Quanto maior o número de detalhes, melhor será a análise da ANPD, bem como a possibilidade das organizações de explicarem o ocorrido.
É fundamental o engajamento e a atuação da ANPD nessas orientações, pois, além de ainda existirem muitas dúvidas por parte dos agentes de tratamento, denota a importância na prevenção de incidentes e violações, bem como orienta, de forma clara e objetiva, os controladores, sobre a comunicação de incidentes.
Um ponto importante, esclarecido pela ANPD: “A Comunicação de Incidente de Segurança destina-se exclusivamente aos controladores de dados pessoais”. Nos parece lógico, eis que o Controlador é quem toma as decisões sobre o tratamento de dados pessoais, logo, ele deverá comunicar, caso ocorra incidentes de segurança ou violação de dados pessoais.
Aqui, consta o link com o formulário atualizado:
Além da comunicação
Além de comunicar, quando da ocorrência, é imprescindível que o Controlador utilize métricas e evidencie suas ações. Realizar monitoramentos, elaborar relatórios, entender os contextos dos incidentes e utilizar as lições aprendidas coopera para um ambiente mais seguro.
Ainda, além de adotar boas práticas, é importante compreender que investir em segurança é lucro e não gasto. Prevenir será melhor que remediar, sempre!
Mesmo que não consigamos eliminar todos os riscos, é necessário entender que, como direitos fundamentais, a privacidade e a proteção de dados pessoais precisam ser respeitadas, através da transparência, boa-fé e adoção de medidas de segurança por parte dos controladores de dados pessoais.
Leia outros artigos da autora:
A Privacidade e a Segurança na Copa do Mundo
As certificações internacionais, a vida prática do profissional de privacidade e a Copa do Mundo
A repetição da política de privacidade e a falta de engajamento das organizações
Como apoiar a adesão ao programa de privacidade?
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).
Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
