Com a Lei Geral de Proteção de Dados finalmente em vigor e as notícias que já começaram a sair na imprensa sobre a primeira ação ajuizada com base na LGPD e até mesmo uma condenação em primeiro grau por fatos ocorridos muito antes da vigência da nova lei, acendeu-se o alerta nas empresas: estamos prontos para a LGPD? E se um fato desses ocorrer conosco?
Num mundo em que até o site da Agência Espacial dos EUA já foi invadido1 e onde algumas das mais altas autoridades brasileiras tiveram recentemente suas conversas trocadas em aplicativos de mensagens vazadas para a mídia, imaginar que uma empresa privada estaria imune a tais riscos pode ser considerado uma ingenuidade. E, se é praticamente impossível assegurar que nada aconteça, uma das melhores atitudes a ser tomada é a prevenção e, com ela, a estruturação também de um plano de combate a incidentes.
Um plano de prevenção a incidentes envolvendo dados pessoais envolve, em primeiro lugar, o estudo e a adequação da própria empresa à LGPD. Trata-se de providência prioritária, na medida em que a plena consciência dos dados tratados pelos diversos departamentos da empresa, as bases legais que justificam o tratamento, o modo de atendimento aos titulares de dados e, de preferência, a nomeação de um bom encarregado – que pode ser vinculado à empresa ou terceirizado, como alguns serviços conhecidos como DPO as a service2 – formam o alicerce para que se passe às demais medidas preventivas.
Uma vez adequada a empresa, outra importante providência preventiva é a contratação de parceiros que também estejam adaptados às regras da LGPD, bem como a renegociação dos contratos em vigor e a atenção redobrada aos que venham a ser firmados, em especial nas cláusulas que envolvam a proteção de dados, para que as responsabilidades de cada um fiquem bem claras.
A questão da responsabilidade é tema sensível, uma vez que, além das regras de responsabilização previstas no Código Civil, a LGPD prevê que, especificamente em relação à proteção dos dados pessoais, o controlador e o operador são obrigados a reparar os danos patrimoniais, morais, individuais ou coletivos causados (art. 42), estabelecendo ainda casos de responsabilidade solidária e de inversão do ônus da prova em benefício dos titulares – à semelhança do que ocorre na defesa dos consumidores – sendo as cláusulas contratuais essenciais para que se possa buscar direito de regresso contra os demais responsáveis no caso de a empresa ter sido obrigada a indenizar algum titular de dados3.
Com a empresa adequada à LGPD e contratados bons parceiros, é o momento de estruturar o plano de prevenção e combate a incidentes. Antes de mais nada, importante lembrar que incidentes envolvendo dados pessoais nem sempre estão ligados a ataques4 por parte de hackers. Não raras vezes, um descuido por parte de um funcionário ou uma falha na programação do site já são suficientes para permitir o acesso de terceiros estranhos à organização, cumulado ou não com um vazamento.
O plano de prevenção e combate a incidentes envolve diversas fases. Uma das iniciais é a definição de competências: quais dirigentes e profissionais ficarão responsáveis por tomar que providências. Normalmente, costumam estar envolvidas as áreas de Segurança da Informação (TI), Comunicação, o Departamento Jurídico e os setores ligados ao atendimento ao público. Pela relevância do tema e diante do risco à reputação e nome da empresa, a participação do CEO ou de representantes da Diretoria também é recomendada no comitê ou sala de crise, sem esquecer, obviamente, do encarregado, que deve exercer o papel de interface entre a empresa, autoridades e titulares dos dados envolvidos no incidente.
As primeiras medidas envolvem a verificação e contenção do incidente, seguidas da averiguação de sua extensão e dos dados pessoais que foram ou estão expostos. Em paralelo, a equipe responsável pela comunicação precisa alinhar – subsidiada pelo Jurídico – a necessidade e viabilidade de comunicação à Autoridade Nacional de Proteção de Dados e aos titulares dos dados, conforme regra do art. 48 da LGPD.
Embora a ANPD sequer esteja instalada e as sanções administrativas previstas na lei só entrem em vigor em agosto de 2021, não se pode esquecer que a economia brasileira possui setores muito regulamentados, sujeitos à fiscalização dos mais variados órgãos e agências, tais como o Banco Central, a Anatel, a ANAC e a Anvisa, para citar apenas alguns dos mais atuantes. No âmbito da proteção do consumidor, a Secretaria Nacional do Consumidor (Senacon), integrante do Ministério da Justiça e Segurança Pública, é outro órgão cuja comunicação – a depender da amplitude do incidente – também pode ser recomendada.
Como forma de mitigação de riscos e de eventuais prejuízos, na coordenação e validação das providências deve estar a assessoria jurídica da empresa, normalmente terceirizada, já que raramente um Departamento Jurídico será grande o suficiente para ter um especialista em Direito Digital e Proteção de Dados. A orientação jurídica é primordial quando se tem em mente que as sanções previstas na LGPD – que podem chegar a R$ 50 milhões por infração – seguirão parâmetros legais tais como boa-fé, cooperação, adoção de procedimentos voltados para minimizar o dano e políticas de boas práticas, além da pronta adoção de medidas corretivas5.
A Lei Geral de Proteção de Dados Pessoais já é uma realidade. A partir de agora, investir na prevenção – de modo a saber quais medidas tomar no caso de ocorrência de algum incidente, bem como estar preparado para tomá-las de forma célere – será um importante diferencial competitivo para as empresas.
__________
1 "Hackers brasileiros invadem site da NASA para protestar contra espionagem" – Tecnoblog, 10/9/2013.
2 Por ter funções equivalentes ao DPO (Data Protection Officer) da GDPR, a lei de proteção de dados europeia, o encarregado (arts. 5º, VIII e 41 da LGPD) também é tratado por vezes como DPO, o elo entre a empresa (controladora dos dados), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
3 Disposições constantes dos parágrafos do mencionado art. 42 da LGPD.
4 Tais ataques são conhecidos como data breaches.
5 Conforme art. 52, II e incisos do parágrafo 1º da LGPD.