Uma abordagem sobre os INCIDENTES DE SEGURANÇA classificados de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) e com o Marco Civil da Internet (Lei nº. 12.965/2014), e critérios da Autoridade Nacional de Dados Pessoais (ANDP) – órgão responsável por fiscalizar e aplicar as penalidades aos responsáveis pelo tratamento de dados pessoais.
A era da tecnologia e a LGPD
Vive-se a 4ª Revolução Industrial, conhecida como era tecnológica e iniciada em 1997, após o advento dos computadores – o que ganhou força pela sua produção em série e tração das tecnologias digitais impulsionadas pela internet.
O século inaugurado pelos smartphones é tempo de mudanças rápidas, da nanotecnologia, da inteligência artificial, das conexões em 5G e das impressoras 3D. A internet das coisas abre caminho também para o desenvolvimento das “hardtechs”, tais como o avanço da robótica, de satélites cada vez mais ousados e do desenvolvimento da biotecnologia.
E em todo esse contexto, o homem busca otimizar o uso de recursos naturais, impulsionado pelas metas de ajustes climáticos e por fontes geradoras de energia limpa. Dá-se novas roupagens aos produtos herdados pela produção da terceira revolução industrial: carros elétricos, painéis fotovoltáicos, dessalinizadores, por exemplo.
E como esse contexto se conecta com a lei de proteção de dados pessoais?
No século XXI a sociedade transferiu grande parte de sua vida física para a vida portátil.
A digitalização permeia as relações interpessoais do cotidiano: no ambiente de trabalho ou familiar; no consumo de produtos ou na demanda por serviços; o aprender; a prática de exercícios físicos; a locomoção e uso de transportes.
E, por conseguinte, deposita-se inúmeros dados pessoais em interfaces as quais são capazes de identificar e diferenciar um indivíduo de outro: suas preferências, desejos, interesses, personalidades, capacidades de compra, forma de se relacionar e, até mesmo, acessar as características físicas – o que pode ser replicável como cópia fiel pelo trabalho de robótica integrada à inteligência artificial.
Nesse contexto, não obstante apostar na boa-fé, a LGPD elegeu uma autoridade de governança e de tutela do bem comum: a Autoridade Nacional de Proteção de Dados (ANPD).
Essa instituição tem o papel de zelar, implementar, criar as diretrizes, fiscalizar o cumprimento da LGPD no Brasil e também de punir os desvios de conduta, aplicando as penalidades relacionadas aos incidentes de segurança no tratamento de dados pessoais.
Da mesma forma, compete à ANPD mapear a adoção de padrões e de boas práticas pelos sujeitos à aplicação da norma, gerar relatórios e indicar medidas preventivas.
Com estrutura regimental criada em 26 de agosto de 2020 pelo Decreto nº. 10474/20, a Autoridade Nacional de Proteção de Dados é vinculada à Presidência da República.
Vigiar e punir?
A critério da ANPD (órgão central de interpretação da LGPD, com autonomia técnica e decisória), o desenho de irregularidades e das sanções será construído em ambiente em que paira a vulnerabilidade, discricionariedade e insegurança jurídica.
Isto porque as sanções administrativas previstas na LGPD – e que, de certa forma complementam as punições descritas no Marco Civil da Internet (Lei nº. 12.965/2014), são abertas, podendo variar desde a advertência à aplicação de multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, alcançando multas de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Além disso, há previsão de aplicação cumulativa de multas diárias, calculadas de acordo com a gravidade da falta e a extensão do dano ou do prejuízo causado; da suspensão parcial ou total do funcionamento do banco de dados e/ou do exercício da atividade de tratamento de dados; além da publicização do ocorrido, entre outras.
Destarte, a partir de 01 de agosto de 2021, os incidentes de segurança com dados pessoais, além dos danos reputacionais à marca ou à organização, podem gerar sérios reflexos financeiros às empresas.
Mas há esperança: a cooperação entre os agentes públicos, privados e a comunidade jurídica irá nortear esse cenário construído sob a ótica do “vigiar e punir”.
Pela regra que acena essa característica da cooperação, a ANPD deverá manter fóruns permanentes de comunicação e de cooperação técnica com setores específicos da economia para realizar as suas atribuições.
Ademais, como o ambiente de aplicação da LGPD ainda está em organização, a ANPD deve privilegiar o seu papel orientativo, enviando informações para a adoção de medidas preventivas ou interruptivas de fatos que possam lesar tais direitos protegidos, sobretudo, com impactos à privacidade.
Quais seriam as irregularidades passíveis de sanções administrativas?
A irregularidade pode ser interpretada como “renúncia” ou “inércia” do agente de tratamento de dados na elaboração de medidas de proteção, ou no uso de ambientes inseguros, por exemplo, para armazenar informações tuteladas.
De fato, a LGPD determina a adoção de “boas práticas” a serem exercidas pelos agentes de tratamento – o que será também avaliado pela autoridade fiscalizatória na aplicação de medidas punitivas, diante da ampla vulnerabilidade que os incidentes relacionados aos “dados pessoais” atingem no mundo digitalizado.
Se o dano for decorrente da falta de “ação preventiva” por parte do agente de tratamento de dados, que deixou de elaborar boas práticas ou não adotou mínimas medidas de segurança, pode haver a responsabilização por eventual incidente de segurança.
Incidente de segurança, segundo a ANPD, é “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais“.
Esse conceito abarca, por exemplo, as fraudes e irregularidades que colocam em risco a autenticidade dos dados pessoais compartilhados; o tratamento de dados para finalidade diversa da autorizada, sobretudo no caso de dados sensíveis; a falta de informações claras e completas constantes dos contratos de prestação de serviços; a falta de exclusão de dados sensíveis em caráter definitivo, quando solicitado pelo titular; a violação de comunicações ou de plataformas sigilosas; e outros inúmeros fatos que podem ser prejudiciais aos dados pessoais e que se conectam, de forma ampla ou específica, à quebra de parâmetros estabelecidos também pelo marco civil da internet.
Portanto, qualquer incidente de segurança, seja pela violação das disposições da LGPD, seja por motivo de desobservância de boas práticas, é passível de responsabilização por sanções administrativas em caso de danos.
Quais os critérios para apuração dos incidentes de segurança e aplicação das sanções?
O objetivo principal da LGPD é evitar danos aos direitos dos titulares (seja de natureza patrimonial, moral, individual ou coletiva) pelo tratamento de dados pessoais.
A complexidade e amplitude do dano e a conduta do agente serão as principais balizas de aplicação das sanções pela Autoridade Nacional de Proteção de Dados, que ressalta: “a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade” .
Já os critérios são subjetivos.
A ANPD se pautará na gravidade, natureza e grau das infrações aos direitos pessoais afetados; na boa-fé do agente; vantagem econômica auferida ou pretendida; capacidade financeira do infrator; reincidência; cooperação e adoção de procedimentos e medidas internas capazes de minimizar os riscos ou de corrigir os efeitos do incidente.
Também serão consideradas as interfaces tecnológicas utilizadas.
Dentro da conduta de “colaboração” que se espera do agente de tratamento de dados, esse deverá, voluntariamente, comunicar os fatos ao titular dos dados e à autoridade nacional, em prazo razoável, indicando as informações sobre o incidente e as medidas técnicas e de segurança utilizadas para minimizar os danos mapeados, em intenção clara de reverter as consequências do prejuízo.
Mas não está claro, na LGPD, se essa comunicação e a conduta ética irão eximir o agente da efetiva indenização ao titular dos dados pessoais.
Isto porque, de acordo com a lei, os agentes de tratamento só não serão responsabilizados quando: provarem que não realizaram o tratamento de dados pessoais que lhes é imputado; provarem que não causaram violação à legislação ou provarem culpa exclusiva do titular ou de terceiro (nesse caso, terceiro alheio à relação entre controlador e operador do tratamento de dados).
Lembre-se que a responsabilidade entre o controlador e o operador de tratamento de dados pessoais é compartilhada (solidária, pois ambos podem ser acionados de mesma forma por violação à LGPD).
Há, portanto, inversão do ônus da prova para o agente de tratamento de dados e a necessidade de produção de prova “negativa”.
E uma vez levantados os fatos, a ANPD aplicará as penalidades ao incidente de segurança com avaliação de gravidade e a partir do critério da proporcionalidade, o que demonstra incerteza sobre a judicialização excessiva do tema.
Um caso ainda sem solução: e o que se espera diante do vazamento de dados pessoais em massa?
Com frequência temos testemunhado o vazamento de dados pessoais divulgados pelos noticiários nacionais.
Em recente investigação instaurada pela Autoridade Nacional, afirma-se que cerca de 230 milhões de dados pessoais estão expostos na DeepWeb (uma espécie de internet paralela fora do alcance da maioria da população).
Em fevereiro de 2021 a ANPD também constatou o vazamento de dados de informações de crédito de mais de 12 milhões de pessoas residentes no Brasil.
O grande aumento de incidentes com dados pessoais está conectado ao cenário pandêmico, que fez crescer as tentativas de golpes e de crimes cibernéticos, agora mais propícios ao cotidiano “online”.
Segundo a análise, as informações de maior proveito de hackers estão em comercialização, agrupadas em pacotes. Estes dados abrangem nomes, email, CPF, senhas de acesso e números de cartões de crédito, estimativa de renda, notas de crédito, dados de veículos, dados de empresas, e até fotos, incluindo mais de 100 milhões de números telefônicos de consumidores em serviços de telecomunicações.
O mais espantoso consiste no fato de que algumas espécies dos dados vazados não estão armazenados em reservas empresariais ordinárias – o que nos faz crer, e confirmam alguns especialistas – que hackers têm utilizado técnicas avançadas para invadir sistemas de dados restritos ou de órgãos públicos, na descoberta de suas fragilidades.
Tudo indica que o mega vazamento tem por fonte mais de uma origem.
A hipótese concebida, e recepcionada pelo engenheiro de sistemas e computação e professor da Universidade Federal do Rio Grande do Sul – UFRGS – Prof. Edison Pignaton de Freitas, fundamenta que o banco de dados foi construído de maneira lenta e gradual, a partir do cruzamento de dados de fontes alternativas.
Malgrado as origens do vazamento de dados, é certo que a vulnerabilidade dos dados pessoais da população brasileira ocupa uma das preocupações primordiais do Estado, mormente diante da época em que se vive.
Esses incidentes recentes evidenciam a necessidade de maior ação por parte da ANPD para garantir a busca constante pela segurança cibernética e de edificarmos, juntos, uma sociedade mais consciente em relação aos impactos do compartilhamento de dados pessoais.
Também é importante investir na capacitação de pessoas e dos órgãos investigativos para atender às novas necessidades do mercado de tecnologia, que exige, cada vez mais, perfis de profissionais atualizados e habilitados ao manejo do universo online.
Já quanto aos programas de governança, entendemos que esses devem ser tratados como disseminadores de cultura de privacidade e de proteção de dados pessoais, dando elementos para que as pessoas possam atuar como protagonistas mais conscientes, seja no compartilhamento de suas informações, ou frente aos incidentes de segurança.
Investir em boas práticas para salvaguardar os direitos dos titulares e minimizar os impactos financeiros em ambiente vulnerável é algo mais do que necessário.
Nesta era tecnológica a adaptação é vital para a sustentabilidade econômica e reputacional das empresas e para a criação de novas oportunidades de negócios, pautadas na segurança e transparência, a exemplo do “Open Banking”.
*Artigo escrito por nosso Jurídico: Gabriela Rosolen de Azevedo Ribeiro e Poliana Alves (Head of Legal e CFO da DUXcoworkers).
Participe da consultoria coletiva com nosso time de especialistas no Data Privacy Sprint, módulo “Tendências e Negócios” em que a LGPD será avaliada sob o contexto do Open Banking
Data: 07/04/2021
Horário: 17h às 18h30
Investimento: R$ 100
Inscrições e mais informações:
https://www.sympla.com.br/data-privacy-sprint—tendencias-e-negocios__1126505
https://www.dataprivacysprint.com/
https://www.uxopenbanking.com.br/
**Confira também o primeiro artigo que trata da importância da ética e da transparência na coleta, uso e tratamento dos dados pessoais e da construção de boas práticas como garantia de direitos fundamentais.