O titular de dados pessoais e os constantes incidentes de segurança
O texto traz algumas reflexões sobre o conceito de incidente de segurança nos casos de violação de dados pessoais e avalia a corresponsabilidade do titular na cultura da privacidade de dados.
quinta-feira, 27 de outubro de 2022
Atualizado às 14:01
Incidente é aquela ocorrência que tem caráter superveniente, não esperada. No ambiente normativo da proteção de dados pessoais, nos aspectos da segurança da informação, um incidente de vazamento de dados sinaliza para os agentes de tratamento de dados, determinadas obrigações previstas no Capítulo VII - Das Segurança e das Boas-Práticas da LGPD (lei 13.709/18) que devem ser cumpridas pelos controladores e operadores.
A Autoridade Nacional de Proteção de Dados (ANPD) conceitua um incidente de segurança com dados pessoais como "qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais".1
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito para mitigar os riscos porventura ocasionados em razão do incidente. Ou seja, mitigar os riscos e atuar com total transparência junto ao titular de dados para cumprir o objetivo principal da lei que é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Analisando as inúmeras publicações e divulgações já noticiadas na mídia2, bem como, traçando um cenário do dia a dia, seja no papel de titular de dados, seja no papel de agente de tratamento de dados, o que se percebe é que as atividades das pessoas acontecem, grande maioria, em ambientes digitais que passam a experiência de "um caminho fácil para uma resposta rápida". Ambos os partícipes, titular e agente de tratamento de dados, contribuem para que as incidências de violações de dados pessoais ocorram, já que não adotam (dentro das suas responsabilidades e esferas de competência), mas medidas de segurança e cautelas necessárias para mitigar tais riscos.
Assim, um titular de dados, por exemplo, acaba facilitando o vazamento de seus dados quando a sua ação em clicar em determinados links, repassar informações pessoais etc, acontece de forma impensada e imediatista, sem realizar a sua parte enquanto detentor do direito fundamental à proteção de dados.3
Na linha da cultura da privacidade de dados, os órgãos representativos e a Autoridade Nacional de Proteção de Dados (ANPD) têm apresentado cartilhas orientativas para que esses titulares de dados (consumidores) sejam esclarecidos acerca da sua responsabilidade em proteger as suas informações pessoais e entender o que de fato é a autodeterminação informativa.
A Federação Brasileira de Bancos (FEBRABAN) emitiu orientações importantes para que o consumidor assuma também, o papel de corresponsabilidade no cuidado com os seus dados. As orientações apontam dez dicas de como proteger os seus dados.4
A ANPD publicou o Guia do Núcleo de Proteção de Dados do Conselho Nacional de Defesa do Consumidor em parceria com a ANPD e a Secretaria Nacional do Consumidor (SENACON) abordando o tema "Como proteger os seus dados pessoais".5 O referido documento de cunho orientativo descreve as hipóteses de tratamento de dados pessoais, quais informações são necessárias para o consumidor entender sobre o relevante tema e quem pode realizar tratamento dos seus dados, além de orientar o titular dos dados sobre o que deve ser feito, a quem ele pode recorrer, em caso de violação que envolva o compartilhamento indevido de dados.
Desde a publicação da lei geral de proteção de dados, passando pelo período mais crítico da pandemia e até os dias atuais, as notícias mais frequentes no âmbito de proteção de dados são justamente sobre as constantes violações de dados que estão ocorrendo mundialmente. Pesquisas apontam que o Brasil está na 12ª colocação global entre os países que mais registraram episódios de vazamento de dados.6
As ocorrências rotineiras de violação de dados que costumam passar "despercebidas" numa cultura de proteção de dados ainda em processo de maturação e construção regulatória reforça a contínua necessidade de reflexão e orientação acerca da proteção de dados, dos direitos e deveres dos titulares.
É de extrema importância refletir sobre o conceito de incidente, já que as constantes violações de dados divulgadas a todo momento colocam a sociedade a se questionar se, realmente, tais vazamentos têm ocorrido de forma acidental. O incidente de dados é para ser uma exceção. Mas será que a sociedade vive em constante violação de dados?
-------------------------
1 Disponível https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_resposta_incidentes.pdf. Acesso em 24 de out de 2022.
2 A experiência mais impactante foi publicizada em 2021 onde mais de 200 milhões de brasileiros tiveram seus dados pessoais violados. Disponível em https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml. Acesso em 24 de out de 2022.
3 O vazamento pode ser originado: do furto de dados por atacantes e códigos maliciosos que exploram vulnerabilidades em sistemas do acesso a contas de usuários, por meio de senhas fracas ou vazadas da ação de funcionários ou ex-funcionários que coletam dados dos sistemas da empresa e os repassam a terceiros do furto de equipamentos que contenham dados sigilosos de erros ou negligência de funcionários, como descartar mídias (discos e pen drives) sem os devidos cuidados. Disponível em https://cartilha.cert.br/fasciculos/vazamento-de-dados/fasciculo-vazamento-de-dados.pdf. Acesso em 24 de out de 2022.
4 A FEBRABAN aponta 10 dicas para que os consumidores adotem como procedimentos mínimos a serem observados para prevenção de danos relacionados a dados pessoais, contribuindo com a identificação de fraudes e crimes cibernéticos, porém na perspectiva de alertar o consumidor para não cair nos referidos golpes. Disponível em https://antifraudes.febraban.org.br/?gclid=Cj0KCQjwteOaBhDuARIsADBqReij_BSRyg6MfEA3H9fdrGsT19-BpD3vpXMOCaIs6bG3IFxAMdhbSKcaAlnHEALw_wcB. Acesso em 24 de out 2022.
5 Disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/arquivos-de-documentos-de-publicacoes/guia-do-consumidor_como-proteger-seus-dados-pessoais-final.pdf. Acesso em 25 de out de 2022.
6 Disponível em https://www.privacytech.com.br/vazamentos/ranking-de-vazamento-de-dados-brasil-e-o-12-colocado,413580.jhtml. Acesso em 25 de out de 2022.