Nos últimos anos, muito se ouve falar sobre vazamento de dados pessoais e o impacto que isso pode causar tanto aos titulares dos dados quanto às organizações responsáveis pelos seus tratamentos. O que antes era visto apenas em outros países, agora já faz parte da realidade brasileira, principalmente em decorrência dos vazamentos de dados ocorridos nos últimos anos, como o que atingiu mais de 243 milhões de brasileiros.
Mas o que significa vazamento de dados e que impactos isso pode gerar? O vazamento de dados nada mais é do que um incidente de segurança onde são comprometidos dados pessoais de terceiros e a segurança e privacidade destas informações são violadas. A partir deste incidente, inúmeros dados poderão ser utilizados indevidamente, ocasionando graves prejuízos financeiros, materiais e morais aos titulares de dados.
Com o intuito de regulamentar o tratamento de dados pessoais e determinar as medidas minimamente necessárias para garantir a privacidade, sigilo, segurança e integridade dos dados pessoais tratados pelas organizações, foi promulgada no Brasil a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, em vigor desde setembro de 2020.
A partir disso, na ocorrência de vazamento de dados pessoais, o Controlador (organização) deverá realizar a comunicação do incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados que possam sofrer algum dano ou correr algum risco decorrente deste incidente, nos termos do artigo 48 da LGPD. Sobre o tema, a ANPD orienta que tal comunicação seja feita independente do possível risco ou dano relevante aos titulares de dados.
Segundo orientação da Autoridade Nacional, a comunicação deverá ser feita à ANPD em até 2 (dois) dias úteis da ciência do incidente.
Para uma boa comunicação com os titulares é essencial manter os dados cadastrais atualizados junto às organizações e realizar o acompanhamento periódico de canais de comunicação, tanto físicas quanto eletrônicas.
Ocorre que podemos ter nossos dados vazados e nunca sermos devidamente comunicados sobre isso. Nesses casos, o que podemos fazer? O artigo 18 da LGPD assegura ao titular de dados diversos direitos, dentre eles o de acesso aos dados que as organizações coletaram e realizam o tratamento, bem como a quaisquer informações relacionadas aos dados, desde a forma de coleta a possíveis incidentes envolvendo a integralidade destes.
Essas informações devem ser prestadas pelas organizações aos titulares de forma clara, acessível, atualizada, completa e gratuita, nos termos do artigo 6º da LGPD. Diante disso, recomendamos algumas ações que podem ser realizadas em caso de vazamento de dados pessoais:
Verifique se houve o comprometimento de senhas. Por exemplo, tanto o Google quanto a Apple possuem ferramentas dedicadas a este tipo de identificação, por meio do “Gerencie sua conta Google” e “Recomendações de Segurança”, respectivamente.
Realize a troca das senhas comprometidas ou costumeiramente utilizadas.
Busque informações relacionadas ao tratamento de seus dados pessoais, bem como informações quanto à integralidade destes dados, junto aos Encarregados de Dados das organizações que comprometeram suas informações pessoais.
Caso não seja possível determinar onde os dados foram comprometidos, verifique se organizações com as quais tenha relacionamento sofreram vazamentos de dados nos últimos tempos.
Na falta de comunicação por parte da organização que sofreu o vazamento, essas orientações poderão ajudar a identificar se houve algum incidente envolvendo dados pessoais e a possível extensão do dano, o que permitirá a adoção de medidas por parte dos titulares, a fim de resguardar a privacidade e segurança dos seus dados. Além disso, poderão ser adotadas outras medidas, conforme recomendado pelo nosso CEO Eduardo Nery.
Ressalta-se que toda e qualquer Organização que sofra algum incidente de segurança envolvendo dados pessoais, além de comunicar tanto a ANPD quanto os titulares dos dados afetados sobre o ocorrido, nos termos do art. 48 da LGPD, precisa adotar medidas de segurança aptas a proteger os dados pessoais e realizar o gerenciamento de riscos envolvidos nos tratamentos realizados.
Logo, além de o titular garantir a segurança de seus dados, as organizações precisam realizar os tratamentos de dados pessoais em conformidade com a Lei, bem como assegurar a comunicação aos titulares e a Autoridade Nacional na ocorrência de incidentes de segurança envolvendo dados pessoais, especialmente quando houver o vazamento destas informações.
Samanta Faleiro Porto Costa
Analista Jurídica da Every Cybersecurity and GRC Solutions
Comentarios