Incidentes de Segurança de Dados Pessoais _ Vigiar e Punir?

Esse é o segundo artigo da série “O CAMINHO DOS DADOS _ NOVAS PERSPECTIVAS DE UMA VIDA ONLINE” .

 

Esse texto traz os INCIDENTES DE SEGURANÇA classificados de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) e com o Marco Civil da Internet (Lei nº. 12.965/2014), sob os critérios da Autoridade Nacional de Dados Pessoais (ANDP) – órgão responsável por fiscalizar e aplicar as penalidades aos responsáveis pelo tratamento de dados pessoais.

 

**Confira também o primeiro texto que trata da importância da ética e da transparência na coleta, uso e tratamento dos dados pessoais e da construção de boas práticas como garantia de direitos fundamentais.

 

Boa experiência!

 


 A era da tecnologia e a LGPD

 

Vivemos a 4ª Revolução Industrial, conhecida como era tecnológica e iniciada em 1997, após o advento dos computadores - o que ganhou força pela sua produção em série e tração das tecnologias digitais impulsionadas pela internet.

O século inaugurado pelos smartphones é tempo de mudanças rápidas, da nanotecnologia, da inteligência artificial, das conexões em 5G e das impressoras 3D. Temos visto a internet das coisas abrir caminho também para o desenvolvimento das “hardtechs”, tais como o avanço da robótica, de satélites cada vez mais ousados e do desenvolvimento da biotecnologia.

Em mesmo sentido o homem busca otimizar o uso de recursos naturais, impulsionado pelas metas de ajustes climáticos e por fontes geradoras de energia limpa. Damos novas roupagens aos produtos que herdamos da terceira revolução industrial. Ou seja, surgem os carros elétricos, painéis fotovoltáicos, dessalinizadores, por exemplo.

 

E como esse contexto se conecta com a lei de proteção de dados pessoais?

 

No século XXI transferimos nossas vidas físicas para os portáteis.

A humanidade, antes nômade, agora cultiva sua existência de forma digital e tecnológica.

A digitalização permeia nossas relações interpessoais de cotidiano: no ambiente de trabalho ou familiar; no consumo de produtos ou demanda por serviços; o aprender; a prática de exercícios físicos; a locomoção e uso de transportes.

E assim depositamos inúmeros dados pessoais em interfaces que são capazes de nos identificar e diferenciar um indivíduo de outro: preferências, desejos, interesses, personalidades, capacidades de compra, forma de se relacionar e, até mesmo, acessar características físicas – o que pode ser replicável como cópia fiel pelo trabalho de robótica e inteligência artificial. 

Para proteger os dados pessoais e seu tratamento foi preciso criar métricas de fiscalização e de punição.

Nesse contexto, não obstante a aposta na boa-fé, na LGPD elegeu-se uma autoridade de governança e de tutela desse bem comum: a Autoridade Nacional de Proteção de Dados (ANPD). 

Com estrutura regimental criada em 26 de agosto de 2020 pelo Decreto nº. 10474/20, a Autoridade Nacional de Proteção de Dados (ANPD), ainda de natureza jurídica transitória (poderá se manter como órgão da administração pública direta ou como órgão da administração pública indireta), é vinculada à Presidência da República.

Essa instituição tem o papel de zelar, implementar, criar as diretrizes e fiscalizar o cumprimento da LGPD no Brasil. Da mesma forma, compete à ANPD mapear a adoção de padrões e de boas práticas pelos sujeitos à aplicação da norma, gerar relatórios, indicar medidas preventivas, e aplicar as penalidades relacionadas aos incidentes de segurança no tratamento de dados pessoais.

 

Vigiar e punir?

 

A critério da autoridade competente (que tem autonomia técnica, decisória pois é o órgão central de interpretação da LGPD), o desenho de irregularidades e de sanções será construído em ambiente onde paira a vulnerabilidade, discricionariedade e insegurança jurídica.

Isto porque as sanções administrativas previstas na LGPD - que complementam as punições descritas no Marco Civil da Internet (Lei nº. 12.965/2014) e que poderão ser aplicadas a partir de 01 de agosto de 2021 são abertas, podendo variar desde a advertência à aplicação de multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, alcançando multas de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Além disso, podem ser aplicadas multas diárias, calculadas de acordo com a gravidade da falta e a extensão do dano ou do prejuízo causado; a suspensão parcial ou total do funcionamento do banco de dados e/ou do exercício da atividade de tratamento de dados; a publicização do ocorrido, entre outras.

Portanto, em agosto de 2021, os incidentes de segurança com dados pessoais além dos danos reputacionais à marca ou à organização, podem gerar sérios reflexos financeiros às empresas.

Mas temos esperança: a cooperação irá nortear esse cenário construído sob a ótica do “vigiar e punir”.

Pela regra, a ANPD deverá manter fórum permanente de comunicação e de cooperação técnica com setores específicos da economia para realizar as suas atribuições.

Ademais, como o ambiente de aplicação da LGPD ainda está em organização, a ANPD deve privilegiar o seu papel orientativo, enviando informes para a adoção de medidas preventivas ou interruptivas de fatos que possam lesar tais direitos protegidos.

 

Quais seriam as irregularidades passíveis de sanções administrativas?

 

A irregularidade pode ser interpretada como “renúncia”, pelo agente de tratamento de dados, à elaboração de medidas de proteção ou até mesmo o uso de ambientes inseguros, por exemplo, para armazenar informações tuteladas.

A nosso ver, a irregularidade também se caracteriza pela inércia, sem que ocorra a violação direta de direitos.

Isto porque a LGPD determina a adoção de “boas práticas” – o que será também avaliado pela autoridade fiscalizatória na aplicação de medidas punitivas, diante da ampla vulnerabilidade que os incidentes relacionados aos “dados pessoais” atingem no mundo digitalizado.

Assim, se o dano for decorrente da falta de "ação preventiva" por parte do agente de tratamento de dados, que deixou de elaborar boas práticas ou não adotou mínimas medidas de segurança, pode haver a responsabilização.

Incidente de segurança, segundo a ANPD, é "qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais".

Esse conceito abarca, por exemplo, as fraudes e irregularidades que colocam em risco a autenticidade dos dados pessoais compartilhados; o tratamento de dados para finalidade diversa da autorizada, sobretudo no caso de dados sensíveis; a falta de informações claras e completas constantes dos contratos de prestação de serviços; a falta de exclusão de dados em caráter definitivo, quando solicitado pelo titular; a violação de comunicações ou de plataformas sigilosas; e outros inúmeros fatos que podem ser prejudiciais aos dados pessoais e que se conectam, de forma ampla ou específica, à quebra de parâmetros estabelecidos também pelo marco civil da internet.

 

Quais os critérios para apuração dos incidentes de segurança e aplicação das sanções?

 

O objetivo principal da LGPD é evitar danos aos direitos dos titulares (seja de natureza patrimonial, moral, individual ou coletiva) pelo tratamento de dados pessoais.

A complexidade e amplitude do dano e a conduta do agente serão as principais balizas de aplicação das sanções pela Autoridade Nacional de Proteção de Dados, que ressalta: "a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade" .

Já os critérios são subjetivos.

A ANPD se pautará na gravidade, natureza e grau das infrações aos direitos pessoais afetados; na boa-fé do agente; vantagem econômica auferida ou pretendida; sua capacidade financeira;  reincidência; cooperação e adoção de procedimentos e medidas internas capazes de minimizar os riscos ou de corrigir os efeitos do incidente.

Também serão consideradas as interfaces tecnológicas utilizadas.

Dentro do perfil de colaboração do agente de tratamento de dados, esse deverá, voluntariamente, comunicar os fatos ao titular dos dados e à autoridade nacional, em prazo razoável, indicando as informações sobre o incidente e as medidas técnicas e de segurança utilizadas para minimizar os danos mapeados, em intenção clara de reverter as consequências do prejuízo.

Mas não está claro, na LGPD, se essa comunicação e a conduta ética irão eximir o agente da efetiva indenização ao titular dos dados pessoais.

O que se tem é que após devida apuração, a ANPD aplicará as penalidades específicas previstas considerando a gravidade do incidente de segurança, a partir do critério da proporcionalidade, o que orienta incerteza nacional sobre a judicialização excessiva do tema. 

Lembrando que a responsabilidade entre o controlador e o operador de tratamento de dados pessoais é compartilhada (solidária, isto é, ambos podem ser acionados de mesma forma por violação à LGPD).

 

Um caso ainda sem solução: e o que se espera diante do vazamento de dados pessoais em massa?

 

Com frequência temos testemunhado o vazamento de dados pessoais nos noticiários nacionais.

Em recente apuração e investigação instaurada pela ANPD afirma-se que cerca de 230 milhões de dados pessoais estão expostos na DeepWeb (uma espécie de internet paralela fora do alcance da maioria da população). Em fevereiro de 2021 a Autoridade também constatou o vazamento de dados de informações de crédito de mais de 12 milhões de pessoas residentes no Brasil.

Segundo a análise, as informações de maior proveito de hackers estão em comercialização, agrupadas em pacotes. Estes dados abrangem nomes, email, CPF, senhas de acesso e números de cartões de crédito, estimativa de renda, notas de crédito, dados de veículos, dados de empresas, e até fotos, incluindo mais de 100 milhôes de números telefônicos de consumidores em serviços de telecomunicações. 

O mais espantoso consiste no fato de que algumas espécies dos dados vazados não estão  armazenados em reservas empresariais ordinárias – o que nos faz crer, e confirmam alguns especialistas, que hackers têm utilizado técnicas avançadas para invadir sistemas de dados restritos ou de órgãos públicos, na descoberta de suas fragilidades. 

Tudo indica que o mega vazamento tem por fonte mais de uma origem.

A hipótese concebida, e recepcionada pelo engenheiro de sistemas e computação e professor da Universidade Federal do Rio Grande do Sul – UFRGS – Prof. Edison Pignaton de Freitas, fundamenta que o banco de dados foi construído de maneira lenta e gradual, a partir do cruzamento de dados de fontes alternativas.   

E em um mercado de trabalho em que impera a escassez de profissionais de tecnologia, a engenharia de dados revela o nascimento de outros perfis de criminosos – o que exige maior capacitação dos órgãos públicos investigativos (Autoridade Nacional de Proteção de Dados, Polícia Federal e Ministério Público) em atuação coordenada e colaborativa com as grandes empresas envolvidas.

Malgrado as origens do vazamento de dados, é certo que a vulnerabilidade dos dados pessoais da população brasileira ocupa uma das preocupações primordiais do Estado, mormente diante da época em que se vive.

O grande aumento de incidentes com dados pessoais está conexo ao cenário pandêmico, que fez crescer as tentativas de golpes e de crimes cibernéticos, agora mais propícios ao cotidiano “online”, seguido pela movimentação de abertura das plataformas bancárias motivadas pelo que chamamos de “Open Banking”.

Esses incidentes recentes evidenciam a necessidade de maior ação por parte da ANPD para garantir  a busca constante pela segurança cibernética e de edificarmos, juntos, uma sociedade mais consciente em relação aos impactos do compartilhamento de dados pessoais.

Os programas de governança devem ser tratados também como disseminadores de cultura de privacidade e de proteção de dados pessoais, dando elementos para que as pessoas possam questionar e atuar como protagonistas, seja no compartilhamento de informações, ou frente aos incidentes de segurança da informação.

Portanto, investir em boas práticas para salvaguardar os direitos dos titulares e minimizar os impactos financeiros em ambiente vulnerável é algo mais do que necessário. É vital para a sustentabilidade econômica e reputacional dos negócios e para que possamos criar novas oportunidades de negócios na era da tecnologia.

 

 

*Artigo escrito por nosso Jurídico: Gabriela Rosolen de Azevedo Ribeiro e Poliana Alves (Head of Legal e CFO da DUXcoworkers).

 

Participe da consultoria coletiva com nosso time de especialistas no Data Privacy Sprint, módulo "Tendências e Negócios" em que a LGPD será avaliada sob o contexto do Open Banking

Data: 07/04/2021

Horário: 17h às 18h30
Investimento: R$ 100

Inscrições e mais informações: 

https://www.sympla.com.br/data-privacy-sprint---tendencias-e-negocios__1126505

https://www.dataprivacysprint.com/

 https://www.uxopenbanking.com.br/

 



TOPO