É nítido que vivemos hoje em uma sociedade cada vez mais digital. Nesse cenário, a preocupação quanto à segurança online vem aumentando, especialmente diante de inúmeros casos de violação de dados nos últimos tempos.
A revolução digital também tem nos mostrado que as informações se tornaram insumos valiosos para as empresas, de modo que a violação de dados tem causado grandes prejuízos financeiros e de reputação para as organizações.
O que é violação de dados?
Entende-se como violação de dados todo o episódio no qual alguma informação confidencial, como dados pessoais, por exemplo, é colocada em risco.
Nos últimos dois anos acompanhamos o mundo adotar novas posturas quanto à segurança e privacidade de dados pessoais.
Esse movimento teve início em 2018, com a promulgação do Regulamento Geral Sobre Proteção de Dados, ou General Data Protection Regulation (GDPR), na União Europeia.
A nova legislação europeia surgiu da necessidade de uma regulamentação mais aperfeiçoada em torno da segurança de dados no bloco econômico, atribuindo maior responsabilidade às empresas detentoras desses dados.
Desse modo, a lei institui regras mais rígidas quanto à proteção e privacidade de dados, proporcionando mais segurança aos seus titulares.
Assim, se antes o processamento de informações era levado de forma negligente pela empresas, sem qualquer tipo de preocupação, agora o descumprimento das normas pode levar à sanções rigorosas.
A vigência da GDPR culminou na movimentação de vários países ao redor do mundo em busca do aprimoramento das suas leis. Esse movimento também teve reflexos no Brasil.
Ainda em 2018 a criação de normas mais claras e acabadas foi aprovada pelo então presidente Michel Temer, dando origem à Lei Geral de Proteção de Dados (lei 13.709/18 – LGPD), que entrou em em vigência em 2020.
Como as legislações definem a violação de dados?
De acordo com o artigo 4º da GDPR, o termo “violação de dados” (personal data breach) diz respeito a uma infração de segurança que tenha por efeito a destruição, alteração, divulgação, perda ou acesso não autorizado a dados pessoais sujeitos a qualquer tipo de tratamento, de modo acidental ou ilícito.
Por consequência, qualquer um desses processos mencionados podem ser enquadrados como tipos de violação de dados pessoais.
Por sua vez, a LGPD define violação de dados, de acordo com seu artigo 48º, como a “ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
O que diz a LGPD em caso de violação de dados?
Ao comparar a GDPR e a LGPD, é nítido que a lei brasileira não possui teor tão amplo quanto a europeia em vários pontos, inclusive no tocante à violação de dados pessoais.
Ao dar a definição do termo “violação de dados”, a lei brasileira não deixa claro o que poderia ser considerado um “incidente de segurança”, por exemplo.
É esperado que lacunas como essa sejam preenchidas pela Autoridade de Proteção de Dados Pessoais (ANPD), entidade recém criada pela medida provisória 869/18, caracterizada como a autoridade supervisora dos procedimentos sobre proteção de dados.
Mesmo com essas lacunas a serem preenchidas, a LGPD dá algumas orientações às organizações caso lidem com um episódio de violação de segurança. Essas estão descritas em seu artigo 48º, conforme explicaremos a seguir.
Em primeiro lugar, é preciso que a entidade controladora desses dados (que é definida como “Controlador de Dados” pela LGPD) avalie se tais informações são, de fato, consideradas “dados pessoais”.
A lei brasileira, conforme o artigo 5º Inc. I, define esse termo como qualquer “informação relacionada a pessoa natural identificada ou identificável”.
Em seguida, o Controlador dos Dados deve averiguar se realmente houve violações de dados pessoais.
Caso positivo, a orientação é de que a entidade comunique imediatamente à autoridade supervisora e os titulares de dados envolvidos.
Sobre a notificação de violação
A notificação em caso de violação é fundamental para que os titulares tomem medidas e protejam suas identidades o quanto antes. Isto é, trata-se da atitude mais responsável possível por parte da entidade controladora.
Antes de uma regulamentação definitiva era possível ver empresas postergando essa notificação, dando-lhes tempo, para a venda de ações, por exemplo, e deixando o titular dos dados em uma situação de vulnerabilidade.
Contudo, em caso de violação de dados LGPD, a lei brasileira determina uma notificação muito mais rápida.
Essa deve ser realizada pelo profissional denominado como Encarregado, cargo que corresponde ao Data Protection Officer, ou DPO, na lei europeia.
A nomeação desse profissional é mais uma das imposições da lei. Ele será encarregado de cuidar de todas as questões que abrangem a proteção de dados dentro de uma organização.
Assim, o artigo 48º determina que a notificação deve ser feita pelo Encarregado em prazo razoável e deverá mencionar, no mínimo:
- Descrição da natureza dos dados pessoais afetados;
- Informações sobre os titulares envolvidos;
- Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Riscos relacionados ao incidente;
- Motivos da demora, no caso da comunicação não ter sido imediata; e
- Medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
O mesmo artigo ainda inteira que, de acordo com a gravidade do caso de violação, a autoridade nacional poderá determinar ao controlador a adoção de providências, visando a salvaguarda dos direitos do titular.
Essas providências podem incluir:
- Ampla divulgação do fato em meios de comunicação; e
- Medidas para reverter ou mitigar os efeitos do incidente.
Quais as consequências da violação de dados?
Como é possível presumir, as consequências da violação de dados podem atingir tanto o titular do dados como a entidade controladora.
Para o titular, o vazamento de dados constitui exposição das suas informações pessoais. A depender de cada caso, esse fator pode se tornar menos ou mais grave.
Se pensarmos em uma violação de dados na internet de informações bancárias, por exemplo, as consequências podem ser desmedidas e significar danos graves ao titular.
Para a entidade controladora as consequências podem ser ainda maiores. Dentre elas:
- Sanções impostas por lei
- Danos à imagem
- Prejuízos financeiros
- Caracterização de crime
Sanções impostas por lei
O primeiro motivo de preocupação das organizações é quanto às sanções impostas pela LGPD para o descumprimento de suas normas.
Ou seja, se a violação dos dados foi causada em consequência da negligência da organização quanto à legislação, essa estará sujeita às penalidades previstas em lei.
Conforme o artigo 52º da LGPD, as sanções administrativas aplicáveis pela autoridade nacional podem incluir:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples de até 2% sobre o faturamento da entidade, limitada, no total, a R$ 50 milhões;
- Multa diária, conforme limite total observado no tópico anterior;
- Publicização da infração após apuração e confirmação da sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período de seis meses, prorrogável até a regularização da atividade pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período; e
- Proibição parcial o total do exercício de atividade relacionadas a tratamento de dados.
Danos à imagem
Em segundo lugar, a entidade também deve se preocupar com a sua imagem diante de um episódio de violação de dados.
Em um mundo cada vez mais digital, a segurança tornou-se uma das principais preocupações das pessoas. Com isso, uma organização que tem seu nome associado a um caso como esse pode ter várias perdas relacionadas ao negócio.
Esse pode ser um fator preponderante para os potenciais clientes avaliarem se realizam, ou não, a contratação ou compra de determinado produto ou serviço, impactando em sua confiança.
Além disso, o receio pode fazer com que a organização perca aqueles clientes já conquistados, o que afeta diretamente em seu negócio.
Prejuízos financeiros
Outra consequência para a entidade controladora são os prejuízos financeiros.
Prova disso são alguns dados apontados pela pesquisa “2018 Cost of Data Breach Study: Global Overview”, realizada pela IBM, em parceria com o Instituto Ponemon.
A pesquisa calcula que o custo médio de um incidente de segurança em que houve perda ou comprometimento de dados pessoais pode superar a marca dos US$ 3,5 milhões.
Além disso, cada dado perdido poderia custar a cada companhia cerca de US$148. A média para o Brasil é de US$67. Já o custo médio total para o país chega a US$1,24 milhão.
Caracterização de crime
Por fim, é preciso compreender que a violação de dados pessoais é crime.
É possível que o vazamento de informações pessoais seja resultante de um acidente, por meio do ato ilícito de terceiros ou através de atos ilícitos da própria entidade.
Essas informações serão apuradas pelas autoridades competentes. Contudo, se a averiguação constatar ação ilícita da empresa, essa será submetida à esfera judicial.
Como se adequar à LGPD?
Visto as consequências eminentes para a violação de dados, é preciso que a entidade controladora preocupe-se em adequar-se à LGPD o quanto antes.
Com a vigência da LGPD, as organizações devem estar prontas para adotarem todas as suas medidas, sendo submetidas à sanções em casos de descumprimento.
Portanto, o primeiro passo para isso é o conhecimento completo dessa legislação.
Além da leitura completa da lei, é preciso conhecer as formas mais práticas para adequar a sua organização à LGPD.
Com esse objetivo, a melhor alternativa para você é contar com um material completo e simples, visando compreender ponto a ponto da lei brasileira de proteção de dados e realizar as aplicações devidas à organização.
O curso Privacy and Data Protection Essentials (PDPE), por exemplo, confere a qualquer profissional os conhecimentos essenciais quanto a organização de proteção de dados pessoais e as regras da LGPD.
O curso PDPE é oferecido pelo Certifiquei e também prepara o profissional para a realização do exame EXIN, instituição reconhecida em certificações no mercado de TI.
Munido do conhecimento do curso e em posse do certificado de qualificação, será mais simples conhecer a Lei de Proteção de Dados e mitigar a possibilidade de violação de dados na sua organização.