22 C
São Paulo
terça-feira, dezembro 3, 2024
InícioColunistasComunicação de incidentes de privacidade

Comunicação de incidentes de privacidade

Com a crescente frequência de incidentes de segurança envolvendo dados pessoais, as empresas enfrentam desafios significativos para cumprir os requisitos da nova Resolução CD/ANPD 15/2024. Essa resolução estabelece prazos rigorosos para a comunicação tanto à Autoridade Nacional de Proteção de Dados (ANPD) quanto aos titulares dos dados afetados, exigindo uma resposta rápida e eficaz que pode ser tanto complexa quanto custosa.

Desafios e Requisitos na Comunicação de Incidentes de Privacidade

As situações são cada vez mais comuns: um belo dia a empresa recebe um e-mail informando que uma base de dados sua foi acessada por um hacker e está sendo ou na iminência de ser disponibilizada na deepweb; um colaborador do RH comunica o envio equivocado de planilha contendo dados dos colaboradores seus e dependentes para um terceiro copiado indevidamente quando do compartilhamento com a corretora de plano de saúde.

O departamento jurídico toma conhecimento da utilização pela área de marketing em um envio de mensagens em massa para destinatários de base de dados adquirida de terceiros que desconhecem sua origem; ou a área de tecnologia da informação recebe o pedido de resgate em Bitcoin para desbloquear os servidores infectados por um ransomware e que paralisam toda a operação da empresa.

Independentemente do caso, e a gravidade das suas consequências, a ocorrência de um incidente de segurança de informação envolvendo dados pessoais dá início a uma série de ações de resposta que devem estar previamente definidas. Entre estas ações pode estar o dever de comunicar a ocorrência não apenas à Autoridade Nacional de Proteção de Dados – ANPD – mas também aos titulares impactados em tempo razoável.

Ou seja, não dá mais para varrer para debaixo do tapete, prática infelizmente nada rara de acontecer que apesar de antes já ser contrária às boas-práticas, pode inclusive ser caracterizada uma violação específica à Lei Geral de Proteção de Dados Pessoais, a aLGPD.

Impacto da Nova Regulamentação sobre as Práticas de Comunicação

Embora a quantidade de comunicados de incidentes de segurança venha aumentando a cada ano, ela é ainda considerada baixo se comparada com outros países. Esse resultado se deveu, em parte, à falta de regulamentação sobre o assunto, motivo pelo qual a Resolução CD/ANPD 15/2024 trouxe os requisitos para a comunicação de incidentes que possam acarretar risco ou dano relevante aos titulares conforme determina a Lei Geral de Proteção de Dados Pessoais – LGPD.

O risco ou dano relevante aos titulares é identificado quando o impacto do incidente afetar significativamente seus interesses e direitos fundamentais e, além disso, deve envolver, de maneira cumulativa, pelo menos:

  • (i) dados pessoais sensíveis;
  • (ii) dados de crianças, de adolescentes ou de idosos;
  • (iii) dados financeiros;
  • (iv) dados de autenticação em sistemas;
  • (v) dados protegidos por sigilo legal, judicial ou profissional; ou
  • (vi) dados em larga escala.

Definido pela regulamentação como de um total significativo de titulares considerando o volume de dados pessoais envolvidos, a duração, a frequência e a extensão geográfica da localização dos titulares impactados. Identificada a necessidade de comunicar a ocorrência de um incidente com dados pessoais, a Resolução CD/ANPD 15/2024 teve ainda a tarefa de definir o prazo para tanto, até então não fixados pela LGPD, que apenas determinava que deveria ser feita em “prazo razoável”.

Anteriormente à publicação da Resolução a ANPD já havia sinalizado por meio de uma recomendação publicada em seu website o que entendia como prazo razoável como sendo de 2 dias úteis, mas que considerando seu status de recomendação não vinculava os Controladores. Tal cenário mudou com a chegada da regulamentação da ANPD que fixou que um incidente deve ser comunicado “no prazo de 3 dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança”.

Sem dúvida, há razões para se questionar o tempo curto de três dias após a ciência do ocorrido, uma vez com uma suspeita de um incidente de segurança, uma empresa vítima de um ataque hacker por exemplo terá foco e esforços divididos entre investigar para confirmar a ocorrência e contê-la, e elaborar o comunicado com o detalhamento suficiente para a ANPD, aumentando assim significativamente os custos e a complexidade da resposta ao incidente.

Como consequência, a ANPD corre o risco de uma onda de comunicações de suspeitas de incidentes, visto que os Controladores tenderão a comunicar de forma parcial e incerta com posterior complementação, ao invés de assumir o risco de comunicar de forma tardia um incidente. Ademais, a Resolução estabelece 20 dias úteis para o Controlador complementar a comunicação parcial.

Essa regra não leva em conta as peculiaridades reais dos incidentes de privacidade, uma vez que a avaliação dos impactos da violação de dados pode se estender por meses, dependendo da sua gravidade e complexidade. Uma comunicação realizada em um prazo tão curto pode não ser suficiente para alcançar o objetivo de beneficiar os titulares dos dados.

Outro ponto importante trazido na Resolução é em que circunstâncias uma empresa deve ser considerada ciente do incidente de segurança. Ao contrário da experiência europeia do Regulamento Geral de Proteção de Dados europeu, no qual ela passa a contar a partir de quando tem conhecimento suficiente para concluir razoavelmente que ocorreu uma violação, algo que se forma a partir da análise das circunstâncias do incidente conforme o aprofundamento das investigações, a regulamentação brasileira determina simplesmente que o início se dará quando a empresa tiver conhecimento de que o incidente de segurança afetou dados pessoais.

Ainda quanto ao prazo de comunicação, o texto regulatório estabeleceu o mesmo prazo para que a empresa comunique aos titulares a ocorrência identificada, de forma direta e individualizada sempre que possível identificar os titulares afetados. Caso a comunicação direta e individualizada mostre-se inviável ou não seja possível identificar, parcial ou integralmente, os titulares afetados, o impacto na reputação e negócios da empresa pode ser ainda maior.

Isso porque a empresa deverá comunicar o incidente, no prazo de 3 dias, pelos meios de divulgação disponíveis, tais como seu website, aplicativos, mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, 3 meses. Além da hipótese acima, a Resolução traz ainda a possibilidade de a ANPD determinar a ampla divulgação do incidente em meios de comunicação, quando o meio utilizado para informar aos titulares sobre a ocorrência se mostre insuficiente para essa finalidade.

Apesar de avançar na definição dos requisitos para a comunicação dos incidentes envolvendo dados pessoais, a ausência de critérios objetivos para a comunicação dificultam o cumprimento da obrigação de comunicar a ocorrência e demanda cautela por parte das empresas em suas estratégias de comunicação.

Ademais, a necessidade de produzir grande quantidade de informações de difícil obtenção em curto intervalo de tempo dificulta ainda mais a devida gestão de crise na resposta aos incidentes envolvendo dados pessoais para a conformidade com os desafiantes requisitos impostos pela LGPD e pela nova Resolução.

Tais fatos reforçam a necessidade de uma avaliação criteriosa e especializada para que a empresa não corra o risco de deixar de comunicar a autoridade nacional de proteção de dados e os titulares, agravando ainda mais as tão temidas mas tão recorrentes situações ilustradas neste artigo que se ainda não aconteceram com sua empresa, pode estar na iminência de acontecer – se é que não tenha inclusive acontecido, mas você ainda não tenha tomado conhecimento.

Postagens recomendadas
Outras postagens