Artigos e Publicações

Equipe do Direito Digital

Incidentes de segurança são eventos relacionados à violação da confidencialidade, integridade, disponibilidade e/ou autenticidade da segurança de dados, como ataques de sequestro de dados (ramsonware), acessos não autorizados, vulnerabilidades dos sistemas de informação, entre outros.

Segundo relatórios do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT.br), o Brasil está no topo da lista dos dez países mais afetados.

Certo é que parte destes incidentes envolvem dados pessoais, expondo informações de pessoas físicas, como, por exemplo, nome, CPF e dados biométricos. Razão pela qual a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela fiscalização de temas relacionados à proteção de dados pessoais, incluindo incidentes de segurança com dados pessoais, tem se posicionado de maneira cada vez mais firme em relação a este tópico.

Prova disso é a Resolução CD/ANPD n. 15/2024 que detalha o procedimento para comunicação de incidentes de segurança com dados pessoais e estabelecendo prazos rigorosos para que as empresas os comuniquem, quando aplicável.

Nos últimos anos, a proteção de dados pessoais no Brasil evoluiu com a LGPD, trazendo regras claras sobre o tratamento e segurança de dados pessoais. Este artigo explora algumas das respostas da ANPD a esses incidentes, destacando lições valiosas para as empresas brasileiras.

1. Qual é o papel da ANPD em caso de incidentes de segurança envolvendo dados pessoais?

A ANPD tem a responsabilidade de avaliar e, quando necessário, sancionar empresas que lidam inadequadamente com incidentes de segurança de dados pessoais. Ela investiga violações à LGPD, exigindo das empresas relatórios detalhados sobre as causas do incidente, a extensão do impacto nos titulares e as medidas adotadas para conter e mitigar o dano, entre outras informações aplicáveis a depender do caso concreto.

Recentemente, em um dia apenas (09 de outubro de 2024) instaurou 14 processos de apuração de incidentes de segurança, totalizando 31 processos instaurados até o final de outubro de 2024. Tais processos são sigilosos, contudo, a existência deles demonstra a preocupação da autoridade com o tema e, consequentemente, a necessidade de atenção pelas empresas à adequação com as normas de proteção de dados vigentes e a priorização de medidas capazes de evitar ou conter de forma eficiente eventos adversos de segurança.

2. Exemplos de medidas impostas pela ANPD em processos sancionadores envolvendo incidentes com dados pessoais

Caso do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE): a ANPD conduziu uma investigação sobre um incidente de segurança envolvendo o IAMSPE após denúncia de terceiro que reportava vulnerabilidades nos sistemas do IAMSPE. A instauração do processo sancionador deu-se ao concluir que a entidade violou a LGPD ao não comunicar o incidente capaz de causar dano relevante aos titulares envolvidos (artigo 48, LGPD) e falhou ao não utilizar sistemas capazes de atender aos requisitos de segurança, aos padrões de boas práticas de governança e aos princípios legais (artigo 49, LGPD).

O caso, que resultou no vazamento de dados de milhões de titulares conectados à IAMSPE, evidenciou a relevância de um programa de privacidade robusto e capaz de garantir segurança aos dados pessoais. A ANPD, então, determinou que a entidade realizasse a comunicação individual do incidente aos titulares impactados, considerando que não havia qualquer justificativa ou impedimento do IAMSPE para a comunicação. Ademais, em razão da inexistência de registros de acesso aos sistemas do IAMSPE, a ANPD entendeu que a entidade não foi capaz de cumprir com o dever de proteção de dados pessoais, na medida em que não demonstrou ter controles suficientes de acesso. Interessante é o fato de que em sua decisão a ANPD trouxe compromissos de proteção de dados trazidos pelo IAMSPE em sua própria Política de Privacidade, mas que – ao olhar da autoridade – não foram cumprido, o que demonstra que o programa de privacidade deve ser baseado em documentos acompanhados de ações internas que suportem tais documentos.

Caso Secretaria de Estado da Saúde de Santa Catarina (SES/SC):

Outro caso relevante envolvendo a SES/SC apontou para o vazamento de dados pessoais de titulares cadastrados na “Lista de Espera do SUS”. A ANPD interveio para assegurar que a SES/SC realizasse o comunicado do incidente de segurança aos titulares de dados envolvidos e de acordo com as regras previstas no artigo 48 da LGPD, solicitando informações sobre o conteúdo e local de publicação da nota informativa do incidente, comprovação da comunicação aos titulares e relatório de técnico e de tratamento do incidente. para assegurar que a empresa adotasse práticas mais rigorosas de segurança de dados. Adicionalmente, em virtude da investigação do caso, a autoridade solicitou apresentação de Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”) considerando os aspectos de alto risco conectados ao serviço da “Lista de Espera do SUS”.

Sobre a apresentação do RIPD, destacamos que a ANPD ressalta a necessidade de o relatório ser suficientemente detalhado para permitir a compreensão plena dos riscos atrelados à atividade. Quanto à violação do artigo 49 da LGPD, a autoridade evidenciou que a ausência de cuidados com a proteção de dados para desenvolvimento de um sistema efetivamente seguro resultou no incidente, e frisou que a exposição de dados pessoais pode concretizar riscos como fraudes, por exemplo. Tal posicionamento destaca a importância de observar princípios de proteção de dados pessoais desde o desenvolvimento de um sistema.

3. Análise das medidas de conformidade exigidas pela ANPD e aprendizados para as empresas brasileiras

A partir das sanções e orientações fornecidas nos casos mencionados é possível identificar algumas ações esperadas pela ANPD para cumprimento com a LGPD, incluindo, mas não se limitando a medidas adotadas para evitar incidentes e reforçando a importância de adoção de medidas preventivas. Elas incluem:
• Aprimoramento contínuo do programa de privacidade: a trilha de adequação à LGPD é sem dúvida essencial para a conformidade com as normas aplicáveis, todavia é clara a expectativa da ANPD da adoção de práticas efetivas de proteção de dados pessoais pelas empresas. Isto é, não bastam documentos que regulam o tema dentro das empresas, sendo necessária a adoção de medidas práticas que suportem e cumpram as regras estabelecidas. Além disso, o monitoramento do grau de conformidade e maturidade do programa torna-se ferramenta essencial para garantia da atualização das práticas de proteção de dados.
• Adoção de medidas preventivas: investimento em medidas capaz de prevenir incidentes, como medidas de segurança da informação (ex. criptografia, controles de acesso baseado em função e/ou atributos dos usuários etc.) e medidas organizacionais como treinamentos regulares à equipe sobre proteção de dados pessoais, realização de due diligence de terceiros envolvidos no tratamento de dados pessoais, realização de testes periódicos de segurança da informação, avaliações de impacto à proteção de dados pessoais e elaboração de RIPD quando necessário, entre outras.
• Reação rápida e notificação dentro dos prazos exigidos pela LGPD: a comunicação rápida com a ANPD e com os titulares é essencial. Empresas devem estar preparadas para agir rapidamente, tanto na contenção do incidente quanto na notificação. Assim, manter um plano de resposta a incidentes envolvendo dados pessoais e uma equipe capaz de identificá-los e remediá-los é essencial.
• Revisão regular das políticas de privacidade e de segurança da informação: a revisão regular das políticas serve especialmente para evitar que a empresa se valha de mecanismos defasados para proteger os dados pessoais, assim como para assegurar que as práticas previstas nas regras internas são de fato aplicadas e obedecidas pelos empregados e demais terceiros envolvidos no tratamento de dados pessoais.

Essas práticas têm sido reforçadas nas exigências da ANPD, tanto para evitar incidentes quanto para aumentar a conscientização das empresas sobre a seriedade da proteção de dados e a obrigação legal de manutenção de uma infraestrutura sólida de proteção de dados pessoais.

A equipe do Direito Digital é composta por Marco Zorzi, Camila Camargo, Bruno Marcolini e Gabriela Araújo