Guilherme Gonçalves Pereira*
Este texto aborda os incidentes de segurança com dados pessoais, especificamente a sua classificação, de modo a trazer subsídios mínimos ao leitor na determinação do dever de comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados.
Para tanto, ainda que rapidamente, serão abordados: responsabilidade pela comunicação do incidente e seu prazo; a importância do mapeamento de dados; o conceito de incidente de segurança; como definir se existe risco de dano; a fórmula aplicável e sua pontuação; a pontuação para comunicação do incidente; a importância da prestação de contas.
Como já escrito, o intuito é trazer subsídios mínimos ao leitor, de modo a contribuir com um aumento da conscientização sobre o tema.
Momento vivido
É inegável que o tema incidentes de segurança com dados pessoais passou a fazer parte do nosso cotidiano, pois são inúmeros os casos noticiados sobre organizações, públicas e privadas, com problemas em seus bancos de dados.
O ciclo de vida de uma resposta ao incidente de segurança inicia, elementarmente, com a sua identificação e, segundo o relatório Cost of a Data Breach Report 2022, o “tempo médio para identificar e conter uma violação de dados foi de 347 dias”.
Porém, para que se tenha um bom tratamento do incidente, é necessário que se possua um plano para o seu tratamento2, geralmente contendo fases de identificação, classificação, engajamento, resposta e análise de causa. Tudo isso faz parte do Programa de Governança em Privacidade, expressamente citado na LGPD.
Responsabilidade e prazo para a comunicação dos incidentes de segurança
É certo que o dever de comunicação do incidente é responsabilidade do Controlador de Dados, apesar de poder “transferir” essa atribuição ao Operador de Dados, se assim contratado e especificado entre as partes. Em todo o caso, é do Controlador o ônus advindo dos danos gerados pelo incidente de segurança.
O prazo, porém, é definido pela ANPD e, atualmente, está sugerido em dois dias úteis, contados da ciência do incidente.
Importância do mapeamento de dados
Além do prazo sugerido, a LGPD (e a ANPD) determinam que sejam informados na comunicação sobre o incidente: a) descrição da natureza dos dados pessoais afetados; b) quantidade e categoria dos titulares envolvidos; c) indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; d) riscos relacionados ao incidente; e) motivos da demora, no caso de a comunicação não ter sido imediata; f) medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Como se sabe, é impossível falar a respeito do que se desconhece e, assim, a comunicação de um incidente sem um mapeamento de processos e dados torna a tarefa ainda mais difícil. Entender minimamente o que a organização faz e quais são as atividades que desenvolve é o que propiciará identificar, pelo menos, os itens A, B, C requeridos pela ANPD, bem como iniciar um estudo e preparação sobre os itens D e F.
Conceito de incidente de segurança
O artigo 5º da Lei 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) não traz um conceito explícito de incidente de segurança, cabendo ao princípio da segurança a descrição inicial do que se possa considerar um incidente: acessos (a dados) não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (de dados).
O artigo 46, por sua vez, reforça ao se referir a ‘acessos não autorizados (aos dados) e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito’ de dados.
Por fim, a ANPD explica, corroborando, que “um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
Aqui, verifica-se, além dos itens relacionados nos artigos 5º e 46, a inclusão do termo presente no artigo 48 da LGPD, ou seja, a possibilidade do evento acarretar riscos (ou danos relevantes, conforme artigo 48) aos titulares, ou seja, uma expectativa de geração de riscos, não a sua concretização. Presente a possibilidade, a comunicação do incidente será medida impositiva.
Como definir se existe risco de dano
Entender que a possibilidade de risco ou dano ao titular implica no dever de comunicação do incidente é simples. A dificuldade está em como definir se essa “possibilidade” está presente no incidente em análise.
“Existem duas razões importantes para isso (avaliar o risco): em primeiro lugar, conhecer a probabilidade e a potencial gravidade do impacto sobre as pessoas irá ajudar o responsável pelo tratamento a tomar medidas eficazes para conter e dar resposta à violação; em segundo lugar, irá ajudar a determinar se é exigida notificação à autoridade de controlo e, se necessário, às pessoas em causa”, neste último caso para que possam se prevenir dos danos que possam lhes ser gerados que, no fim das contas, é o que mais importa ao titular de dados – destinatário final da legislação e objeto de sua proteção.
É muito comum se verificar a análise com base na conhecida tríade da segurança da informação: confidencialidade, integridade e disponibilidade (CID). Ainda assim, determinar em qual grau essa tríade foi violada implica no estabelecimento de um método.
Neste sentido, o Recommendations for a methodology of the assessment of severity of personal data breaches da ENISA (European Union Agency for Network and Information Security) oferece um excelente material de referência para avaliação dos riscos potencialmente causados aos titulares.
Fórmula e pontuação
A ENISA apresenta uma fórmula de classificação da severidade do incidente (SE) que leva em consideração os seguintes critérios: a) contexto do processamento dos dados (DPC); b) facilidade de identificação do titular dos dados (EI); c) circunstâncias do incidente (CB). A fórmula proposta é: SE = DPC x EI + CB.
O contexto do processamento envolve os tipos de dados (simples, comportamentais, financeiros, sensíveis) e um balanceamento com situações agravantes e atenuantes (a pontuação varia de 1 a 4). Já a facilidade de identificação do titular dos dados, como o próprio nome já identifica, visa estabelecer o quanto o titular de dados pode ser univocamente identificado no incidente, nisto incluindo o cruzamento da informação com outras fontes de dados (a pontuação varia de 0,25 a 1). Por sua vez, as circunstâncias do incidente visam avaliar o prejuízo à tríade da segurança da informação (CID) com o acréscimo do item intenção maliciosa (a pontuação varia de 0 a 2).
A aplicação dos itens de avaliação resultarão em classificação de severidade: a) baixa – pontuação menor que 2; b) média – pontuação entre 2 e menor que 3; c) alta – pontuação entre 3 e menor que 4; d) muito alta – pontuação 4 ou maior.
Com qual pontuação devo fazer a comunicação do incidente de segurança
A ENISA não determina com qual pontuação se deve comunicar um incidente de segurança, mas, por decorrência lógica, pontuações altas e muita altas acarretarão na comunicação do incidente.
Entretanto, ainda que obtidas pontuações altas e muitas altas, o material recomenda que sejam utilizados como balanceadores o número de indivíduos afetados e a inteligibilidade dos dados, citando neste último caso a criptografia como fator.
No WP250, é salientado que a avaliação do risco implica, dentre outros, na análise da “combinação da gravidade do impacto potencial sobre os direitos e liberdades das pessoas e da probabilidade de este ocorrer”.
Em complemento, e corroborando, o Guía para la notificación de brechas de datos personales afirma que “en situaciones de severidad media o daño limitado, cuando la probabilidad de que dicho daño se materialice sea alta o muy alta, también se deberá comunicar a los afectados”.
Assim, em referência ao material da ENISA, fica a reflexão sobre a necessidade de comunicação do incidente que, mesmo com baixa pontuação, envolva intenção maliciosa, já que a probabilidade de ocorrência de danos é mais latente pela natureza dolosa e maliciosa do tratamento do dado.
Prestação de contas
Independente da reflexão proposta acima, certo é que as avaliações, justificativas e fundamentos adotados pelos agentes de tratamento precisam ser formalizados para que a prestação dessas contas seja possível.
Ademais, a prestação de contas é princípio da LGPD e, como tal, deve nortear os trabalhos realizados, até mesmo para que o agente de tratamento possa defender e explicar seu posicionamento perante a ANPD, os titulares de dados e outros organismos que possam fiscalizar suas condutas.
Conclusões
Com essas breves considerações, pode-se concluir que a responsabilidade pela comunicação dos incidentes de segurança recai ao Controlador de dados, sendo de dois dias úteis o prazo sugerido para tal.
Além disso, para que a comunicação seja possível, o mapeamento de dados é de suma importância, considerando-se ainda o incidente de segurança como um evento adverso com dados, confirmado, que possa ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Ocorrido o evento adverso, valer-se do material da ENISA é um excelente modo de classificação da severidade do incidente de segurança, adotando-se a fórmula SE = DPC x EI + CB (Severidade do incidente (SE) = Contexto do processamento dos dados (DPC) x Facilidade de identificação do titular dos dados (EI) + Circunstâncias do incidente (CB)). A classificação final será baixa, média, alta ou muito alta, com pontuação de severidade entre 0 e 4 (ou acima). A aplicação da fórmula propicia subsídios para definição pela comunicação do incidente, sem se esquecer das circunstâncias atenuantes e agravantes nessa definição.
Importante também destacar a necessidade de registros de todas essas análises para prestação de contas.
Por fim, conclui-se que o tema de classificação de incidentes envolve diversos aspectos e requer atenção especial para ser bem endereçado e atingir seu intento maior de proteger os titulares de dados dos danos que lhes possam ser gerados.
Referências
Orientações sobre a notificação de uma violação de dados pessoais ao abrigo do Regulamento (UE) 2016/679. Disponível em: https://ec.europa.eu/newsroom/article29/items/612052/en. Acesso em 15/11/2022;
Violação da confidencialidade: quando existe uma divulgação ou acesso acidental ou não autorizado a dados pessoais; Violação da integridade: quando existe uma alteração acidental ou não autorizada dos dados pessoais; Violação da disponibilidade: quando existe uma perda de acesso ou a destruição acidental ou não autorizada de dados pessoais. Disponível em: https://ec.europa.eu/newsroom/article29/items/612052/en. Acesso em 15/11/2022;
Notas
1 SE < 2 Low Individuals either will not be affected or may encounter a few inconveniences, which they will overcome without any problem (time spent re-entering information, annoyances, irritations, etc.).
2 ≤ SE < 3 Medium Individuals may encounter significant inconveniences, which they will be able to overcome despite a few difficulties (extra costs, denial of access to business services, fear, lack of understanding, stress, minor physical ailments, etc.).
3 ≤ SE< 4 High Individuals may encounter significant consequences, which they should be able to overcome albeit with serious difficulties (misappropriation of funds, blacklisting by banks, property damage, loss of employment, subpoena, worsening of health, etc.).
4 ≤ SE Very High Individuals may encounter significant, or even irreversible, consequences, which they may not overcome (financial distress such as substantial debt or inability to work, long-term psychological or physical ailments, death, etc.).
Leia outro artigo do autor:
Geolocalização, produção de prova e privacidade
Guilherme Gonçalves: CIPM (Certified Information Privacy Manager) e CDPO BR (Encarregado de Proteção de Dados Certificado no Brasil), pela International Association of Privacy Professionals (IAPP); Lead Implementer da Gestão da Privacidade da Informação (Baseado na ABNT NBR ISO/IEC 27701), pela Associação Brasileira de Normas Técnicas – ABNT; Pós-graduado em Direito Digital e Compliance (Damásio); Integrante da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD); Advogado OAB/SC 20.807.
