Incidente com dados pessoais: o que é e como prosseguir?

No cenário digital atual, os incidentes com dados pessoais são uma preocupação crescente para empresas de todos os tamanhos.

A Lei Geral de Proteção de Dados (LGPD) é fundamental para orientar as organizações em como tratar e proteger essas informações.

Além de garantir conformidade legal, a implementação eficaz da LGPD fortalece a confiança de clientes e parceiros sobre a segurança de suas informações pessoais.

Quando ocorre um incidente de dados, as consequências podem ser severas, desde danos à reputação até multas significativas.

Por isso, é crucial que as empresas compreendam os requisitos da LGPD e adotem estratégias de resposta rápidas e eficazes.

Neste post, abordaremos as etapas essenciais para prevenir e gerenciar incidentes, destacando como a conformidade com a LGPD pode reduzir riscos e proteger sua empresa de repercussões legais e financeiras.

O que é um incidente com dados pessoais?

Um incidente com dados pessoais é a divulgação ou o acesso não autorizado a informações, sejam elas pessoais ou corporativas.

Quando o incidente envolve dados pessoais, estamos diante de um incidente com dados pessoais e, consequentemente, temos a aplicação da Lei Geral de Proteção de Dados.

Um Incidente de Segurança com dados pessoais geralmente ocorre em razão da exploração de uma vulnerabilidade. Quanto ao seu objeto, podem ser classificados como:

Incidente de Segurança por violação da Confidencialidade: acesso ou divulgação de dados pessoais de maneira não autorizada.

Incidente de Segurança por violação da Integridade: alteração ou modificação da informação de maneira não autorizada.

Incidente de Segurança por violação da Disponibilidade: Destruição ou perda de acesso às informações.

O que pode ser considerado um incidente?

Um incidente pode ter três causas principais, que definirão o seu tipo:

Por ação maliciosa

Nesta situação podemos estar lidando com agentes maliciosos online (hackers ou crackers), quanto com pessoas com intenções ilícitas.

Isso porque, vazamentos provocados por ações maliciosas podem ocorrer em razão da ação de hackers ou crackers, ao acessarem indevidamente um banco de dados ou um dispositivo e prejudicarem a disponibilidade e/ ou a integridade dos dados lá encontrados.

Pode, ainda, acontecer em razão de um roubo ou furto de documento ou mesmo de um dispositivo, com a intenção de acessar e utilizar os dados pessoais neles contidos.

Uma ação maliciosa muito comum são os ataques ransomwares, que ocorrem quando um agente malicioso consegue acessar um banco de dados e criptografa os dados pessoais nele contidos, exigindo um resgate em troca da chave para descriptografar os arquivos.

Geralmente nesses incidentes o agente malicioso não se utiliza dos dados pessoais para interesses pessoais, mas apenas exige um resgate em troca da descriptografia dos dados, ou seja, de sua disponibilidade.

Não há impedimento, contudo, de que neste tipo de ataque os dados sejam copiados enquanto ainda íntegros para serem vendidos, prática esta que, apesar de ser ilegal, é facilmente encontrada, principalmente na deep web.

Erro humano

Esta é a causa mais recorrente de incidentes de segurança da informação, pois são as causas que geralmente se relacionam ao dia a dia de trabalho das pessoas.

Ela pode ser configurada quando da perda de um dispositivo com dados, da perda de documentos, da destruição ilícita de dados que não deveriam ser destruídos ou mesmo pelo envio de um e-mail incorreto, por exemplo.

Falhas relacionadas a erros humanos também podem dar azo a vulnerabilidades que serão exploradas em ataques hackers, principalmente quando consideradas estratégias de engenharia social utilizadas pelos agentes maliciosos, como o envio de links com phishings.

Falha nos sistemas operacionais

Hoje é impossível pensarmos nas atividades mais simples do nosso dia sem a utilização de sistemas operacionais. Nossos celulares, computadores, relógios, carros, dispositivos de cozinha, etc funcionam por meio de um sistema.

Estes sistemas, assim como as antigas engrenagens de um relógio, trabalham em conjunto processando dados, inclusive dados pessoais, para que nossas atividades possam ser realizadas.

Quando um sistema não recebe a devida manutenção, ficando obsoleto ou não passando pelas atualizações devidas, brechas podem ser deixadas e as engrenagens podem não funcionar como deveriam.

São nesses momentos em que podem ocorrer os vazamentos de dados, seja por invasão externa, provocada pela exploração de uma vulnerabilidade, seja por comandos incorretos relacionados ao caminho das informações.

O gerenciamento de um incidente de segurança da informação é essencial para evitar danos tanto para a organização quanto para os titulares. Uma equipe de especialistas com experiência neste tipo de situação é essencial nesse momento.

Vazamento de Dados — O que a Lei determina?

Um dos mais privilegiados princípios na Lei Geral de Proteção de Dados é o princípio da transparência. Portanto, sempre que ocorrer um vazamento de dados pessoais a LGPD determina que os agentes de tratamento façam a comunicação do mesmo.

Esta comunicação deve ser realizada para dois destinatários: O primeiro deles é a Autoridade Nacional de Proteção de Dados e o segundo são os titulares de dados possivelmente afetados pelo incidente.

A comunicação à ANPD deve ser realizada pelo Controlador dos Dados, podendo ser realizada por meio de seu Encarregado pela Proteção de Dados.

Em seu site, a Autoridade Nacional de Proteção de Dados disponibiliza formulário próprio para o peticionamento do incidente, que será processado perante a Comissão especialmente designada dentro do órgão que avaliará o ocorrido e seus efeitos.

Para tanto, ao comunicar o incidente à ANPD, o controlador deverá indicar, além do resumo do ocorrido, quais dados foram vazados, quais os possíveis danos aos titulares, e se o vazamento pode acarretar risco ou dano relevante aos titulares.

Além disso, o agente de tratamento que der causa ao vazamento de dados deve indicar já na comunicação do incidente à ANPD, as melhorias tomadas após o incidente para mitigar os riscos destes danos.

O prazo para que o agente de tratamento faça a comunicação do incidente de segurança à ANPD é de 48 horas, portanto, uma vez identificada a situação, não há tempo a se perder.

Além disso, deve o agente de tratamento atingido pelo vazamento de dados pessoais comunicar o incidente aos titulares de dados que possivelmente foram atingidos pelo vazamento de dados.

Preferencialmente esta comunicação deve ocorrer de forma individualizada a cada um dos titulares, mas na hipótese onde não for possível a comunicação pessoal, deverá ser feita de forma clara e ostensiva em seu site e mídias sociais.

A boa prática recomendada pela Autoridade Nacional de Proteção de Dados é que todas as organizações tenham um plano de contenção e resposta a incidentes com dados pessoais onde estejam materializadas as ações a serem realizadas quando estes ocorrerem.

O gerenciamento de um incidente de segurança da informação é essencial para evitar danos tanto para a organização quanto para os titulares. Inclusive, é uma prática prestigiada com um atenuante de eventual penalização a ser aplicada pela ANPD.

Isso porque, a LGPD, assim como os demais regramentos de proteção de dados prestigiam muito a questão relacionada ao chamado “accountability”, ou seja, a prestação de contas do que ocorreu e do que foi feito.

Esse termo é inclusive materializado como um princípio na lei, inscrito em seu artigo 5º, inciso X, que assim diz:

X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Uma equipe de especialistas com experiência neste tipo de situação é essencial nesse momento, e deverá atuar tanto na identificação do incidente, quanto em sua contenção e comunicação aos titulares e à ANPD.

Não é demais lembrar da obrigatoriedade das empresas em nomearem em encarregado de dados, que poderá auxiliar também no atendimento aos titulares de dados que buscarem informações sobre o ocorrido.

Tem indenização por vazamento de dados?

Sim! O artigo 42 da LGPD disciplina a responsabilidade civil do agente de tratamento se der causa a danos morais ou patrimoniais, individuais ou coletivos, aos titulares de dados em razão do tratamento irregular de dados pessoais ou da não observância da LGPD.

Assim como diversas outras legislações que tratam de direitos difusos e coletos, a LGPD não deixou de regular a responsabilidade civil do agente de tratamento com relação aos dados a que der causa.

Percebemos um estreito paralelo desta responsabilização com a do fornecedor para com o consumidor prevista no Código de Defesa do Consumidor, sendo que ambas derivam da responsabilidade civil prevista nos artigos 186, 187 e 927 do Código Civil Brasileiro.

Neste sentido, temos como conclusão que, independentemente das penalidades administrativas provenientes de um processo fiscalizatório pela ANPD, o agente de tratamento que causar danos ao titular de dados, poderá responder judicialmente pela reparação destes.

Os processos discutindo danos morais e patrimoniais relacionados à LGPD vem crescendo de modo exponencial no Brasil, portanto, deve ser uma preocupação para as organizações, pois podem representar grande massa contenciosa.

Em razão da especificidade da matéria, recomendamos também a contratação de advocacia especializada para patrocínio das defesas nestes processos, pois uma defesa bem construída, que desvincule o nexo causal entre o fato e o dano, são essenciais nestes casos.

Quando é necessário notificar uma violação de dados?

Um incidente com dados pessoais deverá ser comunicado à Autoridade Nacional de Proteção de Dados sempre que representar um risco importante aos direitos dos titulares de dados e sua liberdade.

Essa comunicação à ANPD pode ser realizada tanto pelo Agente de Tratamento que tiver dado causa ao incidente quanto pelo seu Encarregado de Dados, porém é importante se ter em mente que ela é um procedimento compulsório.

O agente de tratamento tem por obrigação informar à ANPD a respeito do ocorrido e, caso não o faça, e a autoridade tenha conhecimento por outros meios, inclusive por denúncia do titular de dados, as penalidades pelo ocorrido poderão sofrer um agravamento.

Qual o procedimento a seguir no caso de um incidente de segurança?

Como primeira medida, ao se dar conta de que houve um incidente com dados pessoais, o agente de tratamento que tiver sofrido ações maliciosas ou tiver dado causa ao problema deverá identificar e entender o ocorrido e sua extensão

Este primeiro passo inclui o entendimento da dimensão dos dados afetados, dos titulares destes dados, da indisponibilidade de sistemas e serviços.

Após esta identificação, devem ser adotadas medidas para minimizar os danos, como comunicação às autoridades policiais quando o incidente for decorrente de ações maliciosas, o restabelecimento de sistemas e restauração dos bancos de dados.

Além disso, devem ser implementadas medidas para que incidentes semelhantes não ocorram novamente no futuro, pois a reincidência também é causa de aumento das penalidades administrativas a serem aplicadas pela ANPD.

Dentre essas medidas, estão incluídas providências relacionadas à segurança da informação, pautadas nas vulnerabilidades que foram exploradas para a ocorrência do incidente e treinamento das equipes envolvidas no incidente.

Recomenda-se a adoção destas duas medidas sejam coordenadas por equipes especializadas tanto em segurança da informação e erradicação de incidentes, quanto por equipes especializadas em treinamentos voltados para a gestão de privacidade e proteção de dados.

Não menos importante, deve ser realizada a comunicação do incidente tanto à ANPD como aos titulares de dados.

O prazo para que o agente de tratamento faça a comunicação do incidente de segurança à ANPD é de 72 horas, portanto, uma vez identificada a situação, não há tempo a se perder.

Além disso, deve o agente de tratamento atingido pelo vazamento de dados pessoais comunicar o incidente aos titulares de dados que possivelmente foram atingidos pelo vazamento de dados.

Por fim, não é demais lembrar que a organização deve buscar estar em conformidade com regulamentações de proteção de dados, promovendo a sua adequação à Lei Geral de Proteção de Dados de forma consistente.

Esse termo é inclusive materializado como um princípio na lei, inscrito em seu artigo 5º, inciso X, que assim diz:

Não é demais lembrar da obrigatoriedade das empresas em nomearem em Encarregado de Dados, que poderá auxiliar também no atendimento aos titulares de dados que buscarem informações sobre o ocorrido.

Qual o prazo para que seja informado um incidente de segurança com dados pessoais?

O prazo para o agente de tratamento comunicar à ANPD um incidente de segurança da informação é de 72 horas.

Apesar de a LGPD não mencionar expressamente esse prazo, mencionando apenas que deve ser feita em prazo razoável, este é o prazo aceito pela ANPD.

Na comunicação do incidente, o agente de tratamento deverá informar à ANPD:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Após a comunicação, a autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I – ampla divulgação do fato em meios de comunicação; e

II – medidas para reverter ou mitigar os efeitos do incidente.

Ao realizar a avaliação do ocorrido e a gravidade do incidente, será avaliado se foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

O que deve ser comunicado à ANPD em caso de incidentes de violação de privacidade?

O artigo 48 da LGPD determina que na Comunicação, o agente e tratamento deverá informar à ANPD:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Comunicação dessa violação aos indivíduos afetados

Além de comunicar a ANPD, deve o agente de tratamento atingido pelo vazamento de dados pessoais comunicar o incidente aos titulares de dados que possivelmente foram atingidos pelo vazamento de dados.

Por isso, é muito importante que o agente de tratamento tenha um mapeamento de quais dados pessoais estão alocados em cada repositório de sua organização, a fim de que possa saber quem pode ter sido atingido em um caso de vazamento.

Preferencialmente esta comunicação deve ocorrer de forma individualizada a cada um dos titulares, podendo ocorrer por e-mail ou mesmo pelo encaminhamento de uma mensagem ao titular.

Porém, na hipótese onde não for possível a comunicação pessoal, por ausência do contato pessoal do titular, por exemplo, esta comunicação deverá ser feita de forma clara e ostensiva em seu site e mídias sociais.

O gerenciamento desta comunicação também é uma prática prestigiada com um atenuante de eventual penalização a ser aplicada pela ANPD.

Uma equipe de especialistas com experiência neste tipo de situação é essencial nesse momento, pois a comunicação aos titulares e à ANPD deve ser clara, assertiva, mas não deve prejudicar demasiadamente a organização.

É importantíssimo também que as organizações tenham um Encarregado de Dados, que auxiliará no atendimento aos titulares de dados que buscarem informações sobre o ocorrido.

Obrigações dos responsáveis pelos tratamentos de dados

Conforme explicamos, as obrigações das organizações são:

I) Conter o Incidente com Dados Pessoais e adoção das medidas de segurança necessárias;
II) Comunicar a ANPD

III) Comunicar os titulares de dados

IV) Se adequar à LGPD

A contenção do Incidente de Segurança com Dados Pessoais inclui o entendimento da dimensão dos dados afetados, dos titulares destes dados, da indisponibilidade de sistemas e serviços.

Na sequência, devem ser adotadas medidas para minimizar os danos, medidas para que incidentes semelhantes não ocorram novamente no futuro e medidas relacionadas à segurança da informação, pautadas nas vulnerabilidades que foram exploradas para a ocorrência do incidente e treinamento das equipes envolvidas no incidente.

A comunicação à ANPD deverá ocorrer no prazo de três dias por meio do formulário disponibilizado em seu site, prazo este em que recomenda-se também ser realizada a comunicação aos titulares de dados.

Recomenda-se a adoção destas medidas sejam coordenadas por equipes especializadas tanto em segurança da informação e erradicação de incidentes, quanto por equipes especializadas em treinamentos voltados para a gestão de privacidade e proteção de dados.

Se já não estiver adequada à LGPD antes da ocorrência do incidente, a empresa tem por obrigação também adequar-se.

Esta obrigação decorre da lei, que já não é mais uma “lei nova”, pois conta com quase 7 anos de promulgação. A Lei Geral De Proteção de Dados deve ser observada por todas as organizações públicas e privadas que realizem tratamento de dados pessoais.

Na adequação à LGPD, a organização deverá mapear os seus processos que envolvam dados pessoais e adequá-los aos ditames da lei.

Deverá também ter uma governança de dados pessoais. Isto porque, o Superior Tribunal de Justiça, no julgamento do Resp 2.147.374-SP, reconheceu que o compliance de dados é medida essencial para evitar incidentes de segurança da informação.

O compliance de dados pessoais envolve alguns princípios como autorização para coleta de dados, proteção contra acessos indevidos, atendimento aos direitos dos titulares de dados e transparência.

Para a implementação do compliance de dados pessoais, é necessário que a organização faça um bom mapeamento de riscos, crie códigos de conduta, políticas e diretrizes, revise e adeque seus contratos, treine e capacite seus colaboradores e mantenha o monitoramento dos processos.

O compliance de dados pessoais, certamente reduzirá muito os riscos de vazamentos e uso indevidos de dados pessoais, evitará penalizações e fortalecerá a confiabilidade da organização que for capaz de construir uma cultura de privacidade de dados.

Além disso, o processo de adequação envolverá a capacitação das equipes da organização, preparando todos os colaboradores para um ambiente em que a proteção dos dados seja priorizada.

Nossa Equipe de Especialistas possui uma Plataforma de Treinamentos ágil e segura, por meio da qual, de maneira simples, todos os colaboradores poderão receber a capacitação necessária para lidarem com a Proteção de Dados dentro da organização.

Por fim, a organização deve adotar boas práticas internas relacionadas aos dados pessoais e à segurança da informação, elaborando, divulgando e implementando políticas de segurança da informação e uma política de privacidade clara e praticada.