Desde a aprovação da LGPD, as preocupações com segurança de dados se tornaram tema central do mundo de negócios. Do mesmo modo, com as multas chegando em agosto, fica uma dúvida: como agir com vazamentos de dados?
Por um lado, é verdade que essa lei traz várias regras com punições duras, a fim de garantir segurança dos dados de pessoas físicas. Mas isto não quer dizer que a LGPD não tem moderação.
Como veremos mais abaixo, esta importante lei reconhece que, mesmo com o máximo de cuidado possível, às vezes vazamentos acontecem fora do nosso controle. Então, a LGPD também traz um breve guia do que fazer nestas situações.
Vale lembrar que, apesar de prezar pela segurança digital e sucesso dos negócios online, a Loupen não é um escritório de advocacia. Então, caso possua dúvidas ou enfrente sérios vazamentos de dados, sugerimos que busque um advogado. Este artigo pode servir como guia inicial para as suas ações corretivas, mas os esforços devem incluir aconselhamento jurídico.
Tendo dito isto, veremos as sugestões que advogados (e a própria lei) nos trazem.
Que incidentes contam como "vazamentos de dados" pela lei?
Os eventos que chamamos de “vazamentos” no mundo digital recebem um nome diferente de acordo com a LGPD: incidentes de segurança com dados pessoais.
A fim de garantir a segurança dos usuários, estes incidentes são bastante abrangentes. Então, usaremos a definição do próprio governo, conforme indicada pela ANPD (Autoridade Nacional de Proteção de Dados):
Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Autoridade Nacional de Proteção de Dados – Governo Federal
Ou seja, todo evento onde alguém acessa os dados pessoais de usuários sem autorização (ou até ilegalmente) conta como um incidente de segurança. Isto engloba desde colaboradores usando os dados de modo irresponsável a grandes vazamentos por hackers.
Tudo isto serve para proteger os dados do público. Mas, ao mesmo tempo, também exige mais atenção das empresas. A boa notícia é que o processo sugerido pela lei é um tanto simples. Para entender melhor, dividiremos em etapas:
1. Comunique internamente aos responsáveis e analise a falha
A primeira etapa é simples – e, se a sua empresa lida com muitos dados, provavelmente já era a etapa inicial ao lidar com crises deste tipo. Mas, mesmo assim, não custa reforçar.
Assim que vazamentos de dados forem identificados, é preciso avisar aos responsáveis por aquelas informações com urgência. Se sua empresa é prestadora de serviços, avise à contratante. Já se o vazamento foi na sua empresa, avise os gerentes e os responsáveis pelo banco de dados.
É importante descobrir a escala do incidente o quanto antes. Investigue o número de pessoas afetadas e os tipos de dados que vazaram, já que isto define o que fazer nas próximas etapas.
Mas, acima de tudo, é preciso analisar se o evento pode trazer danos aos usuários cujos dados vazaram ou não.
2. Avise os usuários afetados pelo incidente
Segundo a ANPD, só é preciso avisar os usuários se o evento pode trazer danos a eles. Mas, no mundo da TI, é boa prática avisar sempre que algo anormal acontece, demonstrando transparência e confiabilidade.
De qualquer modo, para saber se a comunicação do ocorrido é obrigatória, a ANPD sugere uma pergunta a ser feita internamente:
Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?
Se a resposta for “sim”, a empresa precisa entrar em contato com as pessoas afetadas e com a ANPD. Caso contrário, não é necessário, mas é possível que a empresa precise provar que não houve nenhum risco ou dano direto.
Então, se estiver em dúvida, a dica é entrar em contato, até mesmo por segurança.
3. Envie os detalhes do ocorrido à ANPD
O contato com a ANPD deve ser feito com máxima urgência. Não há um prazo 100% concreto no momento, sendo que ele é definido pela própria agência, então é bom ficar alerta e avisar o quanto antes – o indicado é entrar em contato em até 2 dias úteis.
A lista de informações para repassar neste contato é grande, então é normal que a empresa ainda não tenha tudo em mãos em um primeiro momento. Nestes casos, a ANPD indica que seja feito um comunicado preliminar com os dados existentes, complementando-o mais tarde.
Para comunicar sobre vazamentos de dados à ANPD é preciso preencher o formulário disponível para download nesta página. O arquivo resultante deve, então, ser enviado pelo sistema de Peticionamento Eletrônico.
4. Corrija a falha antes que novos vazamentos de dados ocorram
Esta é mais uma etapa óbvia, mas que não custa reforçar. A LGPD requer que as empresas tomem todas as providências cabíveis para cuidar dos dados pessoais em seus sistemas.
Portanto, para garantir não só o cumprimento da lei, mas também a confiança dos usuários, a empresa deve analisar como o vazamento ocorreu.
Procure identificar o que possibilitou o evento e corrigir a brecha. Também vale comunicar sobre as melhorias aos seus usuários, demonstrando transparência e cautela.
Caso a sua empresa conclua que a causa da falha foi um software vulnerável, vale à pena buscar por alternativas. Pesquise por soluções equivalentes ou melhores, mas com segurança mais confiável.
Busque, também, por apps que seguem a LGPD, indicando que os dados que passarem por ali não estarão vulneráveis no servidor do software em questão.
E, por último, busque manter a calma. Vazamentos de dados podem ser imprevisíveis, mas, tomando os devidos cuidados – e seguindo o que diz a lei – você e sua empresa podem superar o ocorrido.