Se ocorrer a violação de dados pessoais? Quais processos implantar para a segurança da informação e governança corporativa?

Compartilhe:

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estipula, em seu artigo 42, a responsabilidade civil do controlador e do operador de dados pessoais pelos danos materiais e morais causados decorrentes do seu tratamento irregular. Isso significa, que o cidadão que tiver seus dados pessoais vazados por culpa (negligência, imprudência ou imperícia) da plataforma controladora de seus dados tem o direito de buscar indenização judicialmente.

Desta forma, na aplicação dos princípios de Prevenção e Segurança, o controlador (de acordo com a estrutura, a escala, o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados), deve implementar um programa de governança em privacidade que, no mínimo:

  • Demonstre o seu comprometimento em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais.
  • Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta.
  • Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados.
  • Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos.
  • Conte com planos de resposta a incidentes e remediação.
  • Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
  • O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes:
  • O modo pelo qual é realizado.
  • O resultado e os riscos que razoavelmente dele se esperam.
  • As técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Os vazamentos individuais ou os acessos não autorizados poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades. Assim sendo, é de suma importância a governança corporativa e medidas de controle no caso de violação de dados, as quais devem ser evidenciadas objetivamente da seguinte forma:• Mapeamento e a manutenção dos registros das operações de tratamento de Dados Pessoais, que evidencia para os agentes de tratamento o volume e a criticidade dos dados tratados.

  • Medidas organizacionais, incluem um plano de resposta a incidentes e remediação, idealmente elaborado em colaboração de diversos departamentos, além do DPO (Data Protection Officer), como: Jurídico, Segurança da Informação, Compliance, Gerenciamento de Riscos, Relações Públicas e Comunicação.
  •  Quem deve ser notificado dentro da empresa no caso de Violação de Dados? Todos os funcionários devem estar cientes desse procedimento internamente.
  • Investigação por meio de equipe interna ou terceirizada? Observar quais são as equipes terceirizadas de confiança.
  • Agentes externos podem ser mais imparciais.
  • Simulações de incidentes para treinamento e criação de sala de crise – prazo “razoável” conforme LGPD – recomendado não superior a 72 horas;
  • Modelos de notificações já previamente estabelecidos.
  • Lista das autoridades que devem ser notificadas – de acordo com cada jurisdição que opera e a “principal” em caso de incidentes transfronteiriços.
  • Apólices de seguro contra ilícitos cibernéticos.

O plano de respostas a incidentes de segurança de dados pessoais deverá definir, acima de tudo um comitê de crises que possuirá os poderes necessários para gerenciar eventual incidentes. Como regra geral um comitê muito extenso não consegue tomar decisão alguma, por outro lado, em um grupo pequeno existe o risco de as decisões não avaliarem todos os aspectos necessários e serem “míopes” em seu diagnóstico e ação.

Deve-se estabelecer quem será comunicado internamente dentro da organização, como será feita essa comunicação, quais informações deverão ser apresentadas, são todos elementos do plano de comunicação. Além disso, é importante estabelecer previamente como a área de relações públicas deverá proceder em sua comunicação ao público (em especial com a mídia).

É preciso determinar como será feita a coleta de provas, se serão utilizados parceiros externos (ou se será realizada internamente), como será a contratação destes, como essas provas serão guardadas, quais serão as medidas judiciais previstas a serem utilizadas contra infratores. Importante destacar que é relevante que os parceiros a serem utilizados já estejam pré-contratados, do contrário é possível que não seja possível a sua contratação regular a tempo de responder a demanda de forma satisfatória.

A legislação impõe a obrigação de comunicar não só a autoridade supervisora – Agência Nacional de Proteção de Dados (ANPD), mas também os titulares dos dados pessoais em caso de incidente grave, é importante que o plano contemple em quais situações cada grupo deverá ser comunicado e como deverá ser realizada essa comunicação (forma oficial, canais utilizados).

Em suma, a governança sobre segurança da informação deve possuir uma estrutura de regras baseada em uma estratégia de camadas, contemplando:

  • Política de segurança da informação.
  • Controles.
  • Procedimentos operacionais.

Em caso de dúvidas ou maiores informações, consulte um profissional de sua confiança.


Dr. Henrique Sampaio
Sócio da SVB Advogados

 

Siga-nos nas redes sociais:

Referências:

Mais
artigos