Nesse sentido, o GDPR exige de todas as organizações que tratem dados pessoais as mais avançadas medidas técnicas para conferir nível de segurança adequado ao tratamento e ao uso dos dados coletados, de acordo com a probabilidade e gravidade de potenciais violações de tais dados aos direitos e liberdades individuais1.
Uma vez que essas medidas sejam insuficientes para garantir a proteção dos dados coletados por ocasião de uma violação2, o GDPR estabelece um regime de notificações a ser observado por todos os controladores e processadores de dados.
Assim, os processadores de dados e/ou subcontratados estão obrigados a notificar os controladores dos dados sobre toda e qualquer violação de segurança, independentemente de sua extensão, assim que dela tomarem ciência, sem atraso injustificado.
Os controladores de dados, por sua vez, devem comunicar as autoridades de controle3 sobre eventos de violação de segurança sem atraso injustificado e, sempre que possível, no prazo máximo de 72h, sendo que qualquer atraso deve ser justificado; eventos de violação de dados que não apresentem risco aos direitos e liberdades dos indivíduos não precisam ser notificados.
Além de estabelecer prazos, o GDPR define o conteúdo mínimo de informações que as organizações responsáveis pelos dados violados devem apresentar às respectivas autoridades por meio de notificação: a) natureza da violação dos dados incluindo, se possível, as categorias e o número aproximado de titulares afetados, bem como as categorias e o número aproximado de registros de dados pessoais em questão; b) nome e contatos do encarregado da proteção de dados ou de outro ponto de contato com o qual possam ser obtidas mais informações; c) consequências prováveis da violação de dados pessoais; d) medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for o caso, medidas para atenuar os seus eventuais efeitos negativos.
Se por qualquer motivo tais informações não puderem ser fornecidas no prazo máximo estabelecido de 72h, elas poderão ser disponibilizadas em partes, conforme seja possível, sempre sem qualquer atraso injustificado.
Além do dever de notificar, a organização responsável pelo tratamento dos dados deve preparar documentação referente ao evento que pormenorize todo o incidente, com relatório dos fatos a ele relacionados, as respectivas consequências, bem como todas as medidas adotadas com vistas à reparação, de forma a permitir às autoridades de controle a verificação do cumprimento das ações de notificação, controle e reparação estabelecidas pelo GDPR.
Ademais, o GDPR manda que o titular dos dados pessoais seja notificado de um evento de violação, sem demora injustificada, sempre que este implicar em um elevado risco para os direitos e liberdades dos indivíduos4. Tal notificação, que poderá ser exigida pela autoridade de controle competente, caso constate-se que o controlador dos dados não o tenha feito, deve descrever em linguagem clara e simples a natureza da violação dos dados e fornecer informações sobre as medidas, dentre as apontadas nas alíneas b), c) e d) acima, que estão ou deverão ser adotadas em relação ao incidente.
Excepcionalmente, o GDPR estabelece que não há obrigação de envio de notificação aos titulares dos dados se ao menos uma das seguintes condições for observada: a) medidas de proteção adequadas, tanto técnicas como organizacionais, tenham sido adotadas e aplicadas aos dados pessoais afetados pela violação, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a acessar esses dados, tais como a encriptação; b) tenham sido tomadas medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não seja suscetível de se concretizar; ou c) sempre que a notificação individual implicar um esforço desproporcional, quando uma comunicação pública ou medida semelhante deve ser tomada para que os titulares dos dados sejam informados de forma igualmente eficaz.
Aquele que não cumprir com o disposto no GDPR no tratamento de violação de segurança de dados estará sujeito a multa administrativa de até Euros 10.000.000,00 ou, no caso de empresas, até 2% do volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, sendo aplicado o montante mais elevado5.
Cabe ressaltar que, muito embora hoje não exista na legislação brasileira vigente uma sistemática análoga do GDPR no tocante à violação de dados, aqueles que coletam, tratam e processam dados podem ser responsabilizados pelos danos causados aos titulares dos dados por eventuais violações, em razão de distintas garantias legais estabelecidas na Constituição Federal (concernentes especialmente a direitos de personalidade, honra, imagem, reputação e liberdades individuais), com reflexos na legislação civil, consumerista e penal. Ademais, os projetos de lei em trâmite, de maneira geral, estabelecem o dever de comunicação de incidentes de violação de segurança aos órgãos competentes e a possibilidade de comunicação pública e/ou aos titulares dos dados, com verificação e avaliação de potencial extensão dos danos.
Assim, conhecer o mecanismo de tratamento de episódios de violação de dados estruturado pelo GDPR e, na medida do possível, adotar certas precauções nele estabelecidas são medidas de cautela necessárias, inclusive para as empresas brasileiras que não tenham atuação nos países da União Europeia, tendo em vista que o GDPR pode influenciar as autoridades legislativas e judiciárias na definição de parâmetros mínimos de conduta pelos controladores e processadores de dados brasileiros.
__________
1 O artigo 32º do GDPR lista o seguinte conjunto mínimo de medidas de segurança: a) a pseudonimização e a encriptação dos dados pessoais; b) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; c) a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma tempestiva no caso de um incidente físico ou técnico; d) um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
2 Uma violação da segurança é aquela que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, de acordo com a definição do item 12 do artigo 4º do GDPR.
3 As autoridades de controle são criadas pelos Estados-Membros da União Europeia, que são responsáveis, ademais, por conferir as atribuições e poderes no âmbito do GDPR (vide artigo 55º).
4 Artigo 34º do GDPR.
5 Artigo 83º (4) (a)
__________