Novas regras da ANPD & Startups: O que fazer em caso de incidente de segurança?

Em setembro de 2020 entrou em vigor a Lei Geral de Proteção de Dados e, semanas depois, a Agência Nacional de Proteção de Dados (ANPD) foi constituída, com o objetivo de zelar, implementar e fiscalizar o cumprimento da referida Lei em todo o território nacional.

Uma vez escolhidos os diretores, o órgão liberou uma agenda regulatória especificando quando iria tratar os temas mais urgentes que ainda precisavam ser regulamentados: transferência internacional de dados, tratamento diferenciado para micro empresas, incidentes de segurança, entre outros.

Tendo em vista os recentes vazamentos em massa de dados de brasileiros, a ANPD já publicou instruções sobre como uma empresa deve realizar a comunicação de um incidente de segurança.

Incidentes de segurança são eventos relacionados aos dados pessoais tratados pela empresa, seja suspeitos ou confirmados, que causam violação da segurança posta pela empresa, como, segundo a ANPD: “o acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.”

Dessa forma, são os passos importantes uma vez constatado pela sua Startup a possibilidade da ocorrência de um incidente de segurança:

1) Avaliar internamente o incidente: Essa etapa tem o objetivo de verificação interna sobre o que ocasionou o incidente e o dano causado por ele: A Startup deve verificar a natureza, a categoria, a quantidade dos dados afetados e as consequências concretas e prováveis.

Além disso, deve se empenhar em preservar as provas, para fornecer subsídios para investigações internas e para os relatórios que serão enviados à ANPD.

2) Comunicar ao encarregado: O encarregado é o responsável, dentro da empresa, por servir como canal de comunicação com a ANPD e com os titulares.

3) Comunicar ao controlador: Caso sua Startup seja a operadora do tratamento de dados pessoais, deverá fazer a comunicação ao controlador.

4) Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares: A ANPD em sua publicação sobre o assunto não traça critérios mais objetivos, contudo, deixa claro que essa questão será alvo de futuras regulamentações. Por enquanto o orgão traz um conceito geral do que seriam os dados relevantes:

“Será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.”

5) Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco: A elaboração deste dossiê é necessária para cumprimento do princípio da responsabilização e prestação de contas e também pode ser fator para diminuição ou agravamento das penalidades que podem ser impostas pelo Órgão.

Ainda, para ajudar na verificação da necessidade de informar sobre o incidente a ANPD preparou um esquema de perguntas que a Startup deverá se fazer:

1. Ocorreu um incidente de segurança relacionado a dados pessoais?

Sim? Próxima pergunta

Não? Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.

2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?

Sim? Comunique à ANPD e ao titular.

Não? A comunicação à ANPD ​​não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.

Por fim, caso seja entendido pela necessidade de comunicação, com ajuda de um time jurídico especializado, a sua Startup deverá realizá-la por meio do link: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.

Por Laís Arduini