Para fins legais, o incidente de segurança é “o acontecimento indesejado ou inesperado que seja hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (JIMENE; TAMER, 2020).
Sob tal perspectiva, pode-se dizer que um plano de resposta a incidentes de segurança deve ser voltado a lidar com qualquer situação que exponha os dados pessoais às situações acima descritas e integrantes de tal conceito.
A perda de um pen drive, o furto de um notebook, a interrupção de acesso a um sistema são situações, do ponto de vista técnico, que podem ser consideradas incidentes de segurança, uma vez que a informação corporativa estará exposta a uma ameaça.
A violação de dados que causa um incidente de segurança pode ocorrer dentro da própria empresa através de uma revelação não autorizada, um acesso indevido ou a perda da informação.
Contudo, muitos dos casos sequer envolvem dados pessoais ou, mesmo que envolvam, não configurariam uma ocorrência que possa propiciar problemas aos titulares. A LGPD estabeleceu em seu artigo 48º o dever do controlador de comunicar a ocorrência de incidente de segurança para a ANPD e para o titular dos dados pessoais, porém limitou àqueles que possam acarretar risco de dano ou dano relevante aos titulares.
Quais são as sanções administrativas na LGPD?
Os agentes de tratamento de dados, em razão das infrações cometidas, ficam sujeitos às seguintes sanções administrativas aplicáveis pela ANPD:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000 por infração;
- multa diária, observado o limite total;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e,
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa e podem ser considerados atenuantes na aplicação da sanção os seguintes parâmetros e critérios:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo infrator;
- a condição econômica do infrator;
- a reincidência;
- o grau do dano;
- a cooperação do infrator;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
- a adoção de política de boas práticas e governança;
- a pronta adoção de medidas corretivas; e
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Mitos sobre a LGPD
Se a pessoa consentir, eu posso fazer tudo com o dado?
Qualquer tratamento deve ter uma finalidade adequada com o consentimento dado pelo titular e objetivo pretendido pela entidade.
Teremos que eliminar os dados se a pessoa pedir?
É importante lembrar que alguns dados são armazenados e tratados para cumprir demandas legais e regulatórias, por exemplo, ou ainda para a prestação do serviço ao titular. Assim, nem todo dado poderá ser eliminado quando a pessoa pedir. Cada caso será analisado, para que a melhor orientação seja dada ao titular.
Dados capturados em redes sociais são considerados pessoais?
Sim, pois dados pessoais são informações relacionadas à pessoa natural identificada ou identificável. Assim sendo, o meio pelo qual eles são capturados não altera a sua natureza, pois os dados continuam sendo pessoais e de titularidade da pessoa a que se referem.
No caso do WhatsApp, os dados são veiculados em conversas privadas ou para grupos de pessoas. Mesmo que se verifique certa “publicidade” dos dados, ela é limitada. Assim, uma eventual utilização desses dados deve enquadrar-se em uma das bases legais, caso contrário, ela será indevida.
No caso do Facebook, se os dados estiverem abertos a todos e a informação tiver sido publicada pelo titular, configurará a hipótese da coleta de dados tornados manifestamente públicos pelo titular, sendo possível a sua utilização para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento de dados, e desde que preservados os direitos do titular.
Se os dados não foram divulgados com esse intuito, esse tipo de tratamento não estaria sob o manto da boa-fé.
Cookies e IPs de máquina são considerados dados pessoais perante a lei?
Dados pessoais são informações que possibilitam a identificação de um indivíduo. Assim, embora a LGPD não defina expressamente o número do IP e do cookie como dado pessoal, o GDPR traz a interpretação de que, pela natureza identificadora do IP e do cookie, eles podem ser usados como ferramentas para definição de perfis e identificação de pessoas, o que se encaixa no conceito de dado pessoal.