Migalhas de Peso

Se ocorrer um incidente de vazamento de dados na sua empresa. O que fazer?

A lei 13.709/2018, LGPD – lei Geral de Proteção de Dados - veio para normatizar a Proteção de dados e a segurança da informação ao titular dos dados. Em um caso de ocorrer um incidente de segurança da informação na sua empresa, o que você deve fazer para resguardar de punições que poderão ser aplicadas.

21/7/2022

Estamos perplexos com a repercussão de vazamento de dados da atriz Klara Castanho 21 anos, que revelou em documento, que tinha engravidado, fruto de um estrupo, que ao final da gestação, havia decidido entregar o bebê para adoção.

Até aí tudo dentro do que a lei de adoção permitia e foi seguido os trâmites legais da adoção, mas o que teria motivado o vazamento da informação da gravidez da atriz? De quem é a culpa do vazamento? Saber o culpado não é nosso objetivo neste texto. É nosso objetivo detalhar para você empresário ou mesmo profissional liberal, se os dados, uma vez vazados, como devo proceder.

A lei 13.709/18 veio para normatizar a Proteção de dados e a segurança da informação. Em um caso de incidente de segurança da informação na sua empresa, você deve traçar um mapeamento detalhado, chamado de GAPs Analisys, que retrata um minucioso plano de ação, servindo de base para orientação a aplicação de medidas e controle de segurança, escopo essencial para a proteção da privacidade e dos dados pessoais.

Neste plano é detalhado o uso de ferramentas como: firewall, DLP, antivírus, DMZ, dentre outras, que perfaz um ambiente mais seguro juntamente com medidas físicas e organizacionais.

Naturalmente o incidente de segurança da informação é definido como qualquer evento que leva a destruição, seja acidental ou ilegal, perda, alteração não autorizada ou acesso a dados pessoais, processados ou transmitidos, segundo define a ANPD – Autoridade Nacional de Proteção de Dados, que assim deve ser garantida ao titular de dados ao longo de toda a vida, desde o momento, tratamento, armazenamento e descarte dos dados, a proteção necessária e sigilo.

No caso em tela, da atriz Klara Castanho, fica evidente a negligência e a responsabilidade do vazamento dos dados, fruto do descuido e preparo de colaboradores e terceiros que sabiam da notícia, e assim resolveu-se espalhar para a mídia, os nomes e sintomas dos pacientes que estavam no leito do hospital, ainda mais sendo uma paciente famosa, como a atriz como Klara Castanho, que neste caso o risco é ainda maior, e o cuidado deve ser redobrados, quando o assunto é dados pessoais sensíveis,  pois o interesse dos veículos de informação é insaciável e voraz.

De antemão, o art. 48 da LGPD, retrata dez princípios para uma boa interpretação e aplicação da lei, com destaque para segurança e prevenção, impondo que sejam adotadas medidas técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Certamente resta claro que a falta ou ineficácia das medidas utilizadas, podem resultar da aplicação de sanções administrativas pela Autoridade de Proteção de Dados, de acordo com os requisitos previsto no art. 52, da lei.

Ademais, a LGPD ainda ampara os titulares de dados a acionarem as empresas judicialmente, para terem seus direitos de exposição de seus dados vazados sem autorização e uma decisão desfavorável, em qualquer das searas do direito, no que se refere a legalidade do tratamento dos dados pode se espalhar perante a uma quantidade expressiva de titulares de dados pessoais e prejudicar futuras decisões contaminando os processos que versem sobre o mesmo tema.

Em síntese, a princípio fica a cargo do titular de dados provar no seu pedido inicial que houve a exposição indevida dos seus dados pessoais e que por este motivo, faria jus ao recebimento de danos morais e materiais em tese de responsabilidade objetiva.

Por fim, ainda que exista uma corrente doutrinária que defende a possibilidade da aplicação da teoria do dano moral in re ipsa, nos casos em que haja vazamento de dados por uma  empresa, esse entendimento não ganhou a maioria dos tribunais, que se manifestou em sentido oposto, sob o fundamento que:  “a mera constatação de que dados pessoais básicos tenham sido objeto de ilegal vazamento não configura, automaticamente, dano moral; sendo certo que não há nos autos prova de outras reverberações do referido compartilhamento irregular“¹ proferido pela desembargadora Ana de Lourdes Coutinho Silva da Fonseca, da 13. Câmara de Direito Privado do TJ/SP, no caso da Eletropaulo.

Dr. Edilson Vargas
Sócio do escritório jurídico Silveira e Vargas Advocacia e Consultoria. Coordenador do núcleo de Privacidade e Proteção de Dados. Pós-graduando em Privacidade e Proteção de Dados pela UCAM - RJ.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Aplicação da lei 14.905/24: TST uniformiza correção monetária na Justiça do Trabalho

12/12/2024

A lei Federal do mercado regulado de carbono: breves comentários

12/12/2024

Adriane Galisteu e Ayrton Senna tinham uma união estável?

12/12/2024

O sentido da vida é fazer sentido a outras vidas?

13/12/2024

Tema 863 STF: O entendimento do STF quanto a limitação dos patamares da multa punitiva qualificada

13/12/2024