Como comunicar um incidente de segurança de dados?
Proposta da ANPD avança ao esclarecer quando e como esses eventos devem ser reportados
A Lei Geral de Proteção de Dados (LGPD) é clara ao exigir que incidentes de segurança que representem risco ou dano relevante aos titulares de dados sejam comunicados à Autoridade Nacional de Proteção de Dados (ANPD). No entanto, ainda faltava definir o conceito de risco ou dano relevante. Esse aspecto, dentre outros, está mais evidente com a Proposta de Regulamento sobre Comunicação de Incidente de Segurança com Dados Pessoais da ANPD, que fica em audiência pública até o dia 31 de maio.
“O regulamento servirá para aclarar questões como prazo, critérios para interpretação de “risco ou dano relevante” e conteúdo da comunicação, tanto à Autoridade Nacional de Proteção de Dados (ANPD) como aos titulares afetados”, explicam Gabriela Saad Krieck e Luis Fernando Prado, sócia e parceiro especializado em direito digital e proteção de dados do Carneiro de Oliveira Advogados.
Para Renato Rossi Filho e Flavia Meleras, respectivamente associado e consultora do Vieira Rezende Advogados, o regulamento trará segurança jurídica para as empresas num momento que exige muito cuidado, que é a comunicação de um incidente de segurança envolvendo dados pessoais – que costuma ser uma atividade delicada e complexa.
Eles consideram que a proposta de regulamento vem preencher a lacuna que havia na definição de quais incidentes podem acarretar risco ou dano relevante aos titulares, que será quando envolver pelo menos uma categoria dos seguintes dados: sensíveis, de crianças, de adolescentes ou de idosos; financeiros; de autenticação em sistemas; ou em larga escala. O mesmo vale para a comunicação de incidentes que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares.
“O regulamento representa um avanço significativo, alinhado com a agenda regulatória da ANPD para o biênio 2023/2024. Ele estabelece critérios mais claros para a comunicação de incidentes, define parâmetros e prazos mais precisos, oferecendo maior segurança aos agentes de tratamento de dados pessoais diante de incidentes de segurança”, afirma Eugênio Corassa, associado do Freitas Ferraz Advogados – para quem, no entanto, sempre há espaço para aprimoramentos.
Pelo menos dois pontos foram apontados como passíveis de discussão: o prazo para comunicar o incidente e a sua ampla divulgação. Prado considera que a proposta traz hipóteses excessivas em que a ocorrência do incidente deverá ser amplamente divulgada. Outro ponto que pode ser melhorado, em sua opinião, é o prazo para comunicar o incidente, de três dias úteis a partir do conhecimento, que ele considera quase sempre insuficiente para reunir informações assertivas sobre o ocorrido.
Opinião semelhante tem Guilherme Guidi, associado do Freitas Ferraz Advogados. Para ele, o prazo é não é suficiente porque deixa a maioria das empresas pressionadas a conseguir realizar em curto espaço de tempo não só a investigação e contenção do incidente, mas também a comunicação à ANPD e aos titulares – tarefas que exigem grande dedicação por partes dos times de tecnologia da informação, segurança, privacidade e jurídico.
Por outro lado, quando se trata de comunicar aos titulares dos dados pessoais sobre o incidente, o prazo importa – e a ANPD terá a dura tarefa de equilibrar as necessidades dos titulares de dados e das empresas: “Em relação à forma de comunicação mitigar o impacto do incidente, entendemos que quanto mais rápida e ágil seja realizada, mais positiva a comunicação será”, consideram os advogados do Vieira Rezende. Corassa, do Freitas Ferraz, lembra que a forma como se dá essa comunicação tem impacto relevante para mitigar possíveis danos causados pelo incidente, pois permite, no caso de uma comunicação em tempo hábil, que os titulares de dados possam se precaver de eventuais tentativas de fraudes.
Guidi considera que merece ser revista a exigência de a empresa manter por seis meses um anúncio público (como no website) comunicando o incidente, quando não for possível comunicar de forma individualizada os titulares dos dados: “Esse dispositivo não diz respeito à aplicação da sanção de publicização, mas gera a preocupação de que algo destinado a fornecer transparência (o anúncio) acabe também gerando uma punição indireta ao agente de tratamento, considerando o impacto reputacional que isso poderia acarretar.”
Na entrevista abaixo, Krieck, Prado, Rossi Filho, Meleras, Guidi e Corassa abordam a proposta de regulamento submetida à audiência pública.
– Qual é a finalidade do Regulamento sobre Comunicação de Incidente de Segurança com Dados Pessoais da ANPD? As empresas deverão obrigatoriamente relatar incidentes de segurança com dados pessoais por meio desse regulamento?
Gabriela Saad Krieck e Luis Fernando Prado: A obrigação de comunicar incidentes de segurança que envolvam dados pessoais decorre da própria Lei Geral de Proteção de Dados (LGPD) e hoje já é exigível para incidentes que representem risco ou dano relevante aos titulares de dados envolvidos. O regulamento servirá para aclarar questões como prazo, critérios para interpretação de “risco ou dano relevante” e conteúdo da comunicação, tanto à Autoridade Nacional de Proteção de Dados (ANPD) como aos titulares afetados.
Renato Rossi Filho e Flavia Meleras: A finalidade dessa iniciativa é regulamentar o procedimento de comunicação de incidentes de segurança que envolvam dados pessoais. Um incidente de segurança, de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), é aquela situação em que ocorrem acessos não autorizados de dados pessoais e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais. Em outras palavras, são eventos que violam a confidencialidade, integridade, autenticidade ou disponibilidade de um dado pessoal.
No artigo 48 da LGPD há a previsão de que “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares” e no parágrafo primeiro deste artigo, há a previsão de que a Autoridade Nacional de Proteção de Dados (ANPD) regulamentaria o tema.
As empresas deverão seguir e observar as regras do regulamento, tendo em vista que a comunicação de um incidente de segurança que envolva dados pessoais é uma atividade delicada e complexa. O regulamento trará segurança jurídica para as empresas nesse momento que exige muito cuidado.
Guilherme Guidi: O regulamento em questão tem como finalidade principal criar regras que dão detalhes sobre quando e como uma empresa ou outra entidade submetida à LGPD deve comunicar à ANPD a ocorrência de um incidente de segurança. Caso seja aprovada a minuta de regulamento, todas as pessoas (sejam ela empresas ou não) que se enquadrem na LGPD deverão seguir os procedimentos do regulamento.
Pelo quando, a ANPD busca deixar mais claro quais são as circunstâncias que tornam necessário relatar à própria ANPD uma ocorrência, visto que nem todos os incidentes de segurança devem ser relatados. A LGPD já traz a regra de que o incidente deve ser reportado quando possa representar “risco ou dano relevante aos titulares”. O grande desafio deve ser justamente entender quais situações podem configurar esse risco ou dano relevante, e o que a ANPD pretende endereçar com a aprovação desse regulamento.
Pelo como, a ANPD quer definir também qual exatamente o procedimento para realizar essa notificação (por exemplo, qual o prazo em que a comunicação deve ser feita) e qual o procedimento a ser adotado internamente pela própria ANPD para receber a comunicação, avaliar o incidente, acompanhar o desenrolar do incidente e, eventualmente, determinar medidas para proteger os titulares de dados.
– Como são definidos os incidentes de segurança com dados pessoais? Todos deverão ser relatados?
Gabriela Saad Krieck e Luis Fernando Prado: A proposta de regulamento define “incidente de segurança com dados pessoais” como “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”. Portanto, trata-se de definição bastante ampla e abrangente.
Os incidentes de segurança com dados pessoais que deverão ser relatados são aqueles que representam “risco ou dano relevante”, sendo que a interpretação desse conceito é justamente o que está em debate nesta consulta pública.
Renato Rossi Filho e Flavia Meleras: Conforme dito, um incidente de segurança, sob a ótica da LGPD, é aquela situação em que ocorrem acessos não autorizados de dados pessoais e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais.
Não serão todos os incidentes que deverão ser comunicados para a ANPD e para os titulares, pois conforme o artigo 48 da LGPD, os controladores deverão comunicar somente aqueles incidentes que possam acarretar risco ou dano relevante aos titulares.
Um dos grandes desafios que os agentes de tratamento estavam enfrentando era o de definir quais incidentes podem acarretar risco ou dano relevante aos titulares. De certa forma, a proposta de regulamento vem a preencher essa lacuna, definindo qual será o caso em que o incidente terá potencial de afetar significativamente interesses e direitos fundamentais dos titulares, que será quando envolver pelo menos uma categoria de dados, como: dados sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; ou dados em larga escala.
Da mesma forma, deverão ser comunicados incidentes que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
Eugênio Corassa: Segundo o regulamento, os incidentes de segurança com dados pessoais são quaisquer eventos adversos confirmados, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.
Apenas os incidentes que possam causar “risco ou dano relevante” aos titulares devem ser comunicados à ANPD e ao titular. Para tentar tornar esse critério mais objetivo, a proposta é que sejam comunicados os incidentes que tenham potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos critérios definidos pela ANPD, o que inclui, entre outros, as circunstâncias do incidente, o volume de dados afetado, e a existência de tipos de dados com maior potencial de dano, como dados sensíveis ou dados de crianças.
Finalmente, para fins do regulamento, serão considerados incidentes que têm potencial de afetar significativamente interesses e direitos fundamentais dos titulares aqueles que possam: impedir ou limitar o exercício de direitos ou a utilização de um serviço; ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
– Quais são as obrigações envolvendo a comunicação de incidentes de segurança com dados pessoais para as pessoas físicas e para a própria ANPD? A forma como se dá essa comunicação tem algum impacto relevante para mitigar possíveis danos causados pelo incidente?
Gabriela Saad Krieck e Luis Fernando Prado: É importante esclarecer que, independentemente do regulamento, hoje a obrigação de comunicação de incidentes com dados pessoais a titulares e ANPD já existe e deverá acontecer sempre que puder trazer “risco ou dano relevante”. Embora ainda não haja regulamentação específica para se definir o conceito de risco ou dano relevante, a ANPD mantém em sua página eletrônica algumas orientações que ajudam a nortear quando se deve realizar a comunicação de incidentes.
De modo geral, o propósito da comunicação a titulares e ANPD é, justamente, alertar as pessoas afetadas sobre eventuais providências que devam tomar para reduzir riscos relativos ao incidente e contar com apoio da autoridade na adoção de medidas para mitigar os efeitos do ocorrido.
Renato Rossi Filho e Flavia Meleras: A principal obrigação na comunicação, relacionada ao regulamento, é que foram ampliados os elementos que deverão constar na comunicação. Conforme a proposta de regulamento, os controladores deverão oferecer mais detalhes, como data e hora do conhecimento do incidente pelo controlador, informação do número de titulares envolvidos –, se há dados pessoais de crianças, adolescentes e idosos – e também a declaração de que foi realizada a comunicação aos titulares, que será regulamentada pelo artigo 9 da minuta de regulamentação.
A comunicação aos titulares deverá fazer uso de linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível identificá-los, além de informar os detalhes do incidente. Por sua vez, a comunicação à ANPD tem caráter técnico e detalhado.
Em relação à forma de comunicação mitigar o impacto do incidente, entendemos que quanto mais rápida e ágil seja realizada, mais positiva a comunicação será. O regulamento prevê o prazo de três dias úteis do conhecimento sobre o incidente de segurança e excepcionalmente complementada em até 20 dias úteis, a contar do momento em que o controlador tomou conhecimento do incidente de segurança, prorrogável por uma vez, por igual período, mediante solicitação fundamentada à ANPD. Além disso, a minuta fala que será “considerada boa prática para fins do disposto no art. 52, §1º, IX da LGPD, a inclusão na comunicação ao titular de recomendações aptas a reduzir os efeitos do incidente.”
Eugênio Corassa: Com relação às obrigações envolvendo a comunicação dos incidentes para a própria ANPD, o regulamento estabelece que o incidente deverá ser comunicado no prazo de três dias úteis contados do conhecimento do incidente, podendo ser complementado excepcionalmente em até vinte dias úteis do conhecimento do incidente. Além disso, a comunicação do incidente deverá ser íntegra, contendo informações como a descrição da natureza e da categoria de dados pessoais afetados, o número de titulares afetados e as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente, dentre outras informações.
Com relação aos titulares – pessoas físicas, o regulamento estabelece que a comunicação do incidente também deverá ocorrer no prazo de três dias úteis contados do conhecimento do incidente de segurança. Além disso, a comunicação deverá conter informações sobre o incidente, como os dados afetados, riscos ou impactos ao titular, bem como contatos adequados para obtenção de informações.
Cabe destacar, também, que esta comunicação deve utilizar linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível identificar os titulares afetados. Caso isso não seja possível, a empresa terá de realizar a divulgação da comunicação do incidente pelos meios de divulgação disponíveis, tais como na sua página na internet, em aplicativos, em suas mídias sociais e em canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização pelo período de, no mínimo, seis meses.
Finalmente, a forma como se dá essa comunicação tem impacto relevante para mitigar possíveis danos causados pelo incidente, pois permite, no caso de uma comunicação em tempo hábil, aos titulares de dados a oportunidade de se precaverem de eventuais tentativas de fraudes utilizando dados pessoais que foram objeto do incidente. Ainda, a clareza na comunicação permite ao titular compreender a extensão do incidente e lhe permite tomar as medidas apropriadas, além de poder obter mais informações da empresa.
– Qual é a sua avaliação sobre o regulamento que vai para a audiência pública? Há pontos que requerem aprimoramento?
Luis Fernando Prado: Há vários pontos a serem melhorados e, para tanto, é importante que empresas, associações e grupos empresariais participem da consulta pública, de modo a contribuir para uma regulamentação mais ponderada e condizente com a realidade empresarial. Por exemplo, o prazo proposto na minuta de regulamentação para comunicação do incidente é de apenas três dias úteis a partir do conhecimento, o que, na prática, é quase sempre insuficiente para reunir informações assertivas sobre o ocorrido.
Além disso, a proposta da ANPD traz hipóteses a meu ver excessivas em que a ocorrência do incidente deverá ser amplamente divulgada, além de critérios para aferição de “risco ou dano relevante” que podem ser bastante melhorados, de forma a trazer maior nível de segurança jurídica.
Renato Rossi Filho e Flavia Meleras: A avaliação é positiva, pois, como dito anteriormente, a comunicação de incidentes de segurança para a ANPD e para os titulares é um momento muito delicado e os agentes de tratamento ainda tinham muitas dúvidas sobre como fazer a avaliação se determinado incidente oferecia risco ao titular e se deveria ser ou não comunicado à ANPD. A regulamentação tem o intuito de suprir essa lacuna regulatória e oferecer maior segurança jurídica aos agentes de tratamento e aos titulares de dados cujos dados foram afetados pelo incidente.
Como é uma minuta preliminar, existem alguns ajustes a serem feitos, como correções na redação – por exemplo, no artigo 6º, inciso XI, em que há a menção incorreta ao artigo 10 em vez do artigo 9 – e definir melhor alguns termos como “larga escala”, para auxiliar os agentes de tratamento na hora da avaliação sobre ser necessária ou não a comunicação para a ANPD e titulares.
Eugênio Corassa: O regulamento representa um avanço significativo, alinhado com a agenda regulatória da ANPD para o biênio 2023/2024. Ele estabelece critérios mais claros para a comunicação de incidentes, define parâmetros e prazos mais precisos, oferecendo maior segurança aos agentes de tratamento de dados pessoais diante de incidentes de segurança. Nesse sentido, representa um grande avanço em face da ausência de um regulamento pelo qual empresas pudessem se fiar em casos de incidentes de segurança da informação, apesar de sempre haver espaço para melhora.
Guilherme Guidi: A minuta de regulamento tem alguns pontos em que caberia detalhamento adicional, ou mesmo uma abordagem diferente. Dentre eles, por exemplo, está o prazo de comunicação fixado em três dias úteis. A orientação anterior sugeria a comunicação em dois dias úteis, prazo que era considerado insuficiente por muitos especialistas. Em resposta a esse tipo de questionamento, membros do órgão chegaram a indicar que a ANPD adotaria prazo maior, mas o número final constante da minuta ainda deixa a maioria das empresas pressionadas a conseguir realizar em curto espaço de tempo não só a investigação e contenção do incidente, mas também a comunicação à ANPD e aos titulares, tarefas que individualmente já exigem grande dedicação por partes dos times de TI, segurança, privacidade e jurídico.
Outro aspecto da minuta que merece atenção diz respeito às obrigações de publicização do incidente. Enquanto há, dentre as sanções previstas na LGPD uma hipótese de divulgação pública do incidente como penalização do agente de tratamento, a minuta traz o artigo 9º, §3º. Segundo ele, caso não seja possível comunicar os titulares de forma individualizada sobre o incidente, este deve ser divulgado pela empresa em anúncio público (em seu website, por exemplo) por pelo menos 6 meses. Esse dispositivo não diz respeito à aplicação da sanção de publicização, mas gera a preocupação de que algo destinado a fornecer transparência (o anúncio) acabe também gerando uma punição indireta ao agente de tratamento, considerando o impacto reputacional que isso poderia acarretar.
Leia também