Em um mundo cada vez mais digital, a segurança dos nossos dados pessoais se tornou uma prioridade inegociável.
A Lei Geral de Proteção de Dados (LGPD) surgiu para garantir essa proteção, mas o que acontece quando ocorre um vazamento de dados? Quais são as consequências para empresas e indivíduos?
E, mais importante, como podemos nos proteger e evitar que esses incidentes aconteçam?
Neste artigo, vamos explorar em detalhes o universo dos vazamentos de dados sob a ótica da LGPD, oferecendo um guia completo para entender, prevenir e lidar com essas situações.
O que é um vazamento de dados?
Um vazamento de dados é a divulgação ou o acesso não autorizada de informações, sejam elas pessoais ou corporativas.
Quando as informações vazadas são dados pessoais, estamos diante de um vazamento de dados pessoais e, consequentemente, temos a aplicação da Lei Geral de Proteção de Dados.
Diferença entre vazamento de dados e incidente de segurança
Um vazamento de dados pessoais é uma das modalidades dos Incidentes de Segurança, que nada mais é que a exploração de uma vulnerabilidade.
Os Incidentes de segurança, quanto ao seu objeto, podem ser classificados como:
Incidente de Segurança por violação da Confidencialidade: acesso ou divulgação de dados pessoais de maneira não autorizada.
Incidente de Segurança por violação da Integridade: alteração ou modificação da informação de maneira não autorizada.
Incidente de Segurança por violação da Disponibilidade: Destruição ou perda de acesso às informações.
Um vazamento de dados pessoais pode ter três causas principais:
A primeira delas é a ação maliciosa de hackers que invadem o banco de dados ou mesmo a ocasião de um roubo ou furto de documento.
Esta é a mais conhecida e divulgada causa de um vazamento de dados pessoais, por ser aquela que geralmente produz maior estrago nos bancos de dados das organizações.
A ação maliciosa mais comum são os ataques ransomwares, que ocorrem quando um agente malicioso consegue acessar um banco de dados e criptografa os dados pessoais nele contidos, exigindo um resgate em troca da chave para descriptografar os arquivos.
A segunda das causas é o erro humano. Esta é a causa mais recorrente de incidentes de segurança da informação e podem ser configuradas pela perda de um dispositivo com dados ou pelo envio de um e-mail incorreto, por exemplo.
Falhas relacionadas a erros humanos também são uma fonte de ataques hackers, principalmente quando consideradas estratégias de engenharia social utilizadas pelos agentes maliciosos, como o envio de links com phishings.
Por fim, um incidente de segurança da informação pode ocorrer, em razão de falha nos sistemas operacionais, que podem ocasionar erros de programação ou dar ocasião às brechas nas medidas de segurança implementadas.
Quais os dados mais comuns em vazamentos?
Quando estamos diante de um vazamento de dados pessoais, a maioria dos vazamentos terá como objeto os dados pessoais mais comumente tratados, que são os dados cadastrais.
Nome, RG, CPF, telefone, E-mail, data de nascimento e endereço residencial são dados pessoais exigidos em praticamente todo e qualquer tipo de cadastro on-line ou físico, portanto, são os dados mais facilmente encontrados nos bancos de dados.
São também os dados pessoais mais valiosos para aqueles que buscam explorar economicamente o resultado de um vazamento de dados, em razão da possibilidade de obtenção de diversas outras informações do titular de dados por meio destes dados.
Porém, em razão do aumento expressivo das redes sociais e da utilização de reconhecimentos biométricos, também tem sido bastante comuns os vazamentos de dados pessoais relacionados à imagem do titular e de sua biometria, digital ou facial.
Quais são as principais causas de um vazamento de dados?
Por ser uma modalidade de incidente de segurança da informação, as causas de vazamento de dados são as mesmas de um incidente. Portanto, um vazamento pode ser causado:
1. Por ação maliciosa
Nesta situação podemos estar lidando com agentes maliciosos online (hackers ou crackers), quanto com pessoas com intenções ilícitas.
Isso porque, vazamentos provocados por ações maliciosas podem ocorrer em razão da ação de hackers ou crackers, ao acessarem indevidamente um banco de dados ou um dispositivo e prejudicarem a disponibilidade e/ ou a integridade dos dados lá encontrados.
Pode, ainda, acontecer em razão de um roubo ou furto de documento ou mesmo de um dispositivo, com a intenção de acessar e utilizar os dados pessoais neles contidos.
Uma ação maliciosa muito comum são os ataques ransomwares, que ocorrem quando um agente malicioso consegue acessar um banco de dados e criptografa os dados pessoais nele contidos, exigindo um resgate em troca da chave para descriptografar os arquivos.
Geralmente nesses incidentes o agente malicioso não se utiliza dos dados pessoais para interesses pessoais, mas apenas exige um resgate em troca da descriptografia dos dados, ou seja, de sua disponibilidade.
Não há impedimento, contudo, de que neste tipo de ataque os dados sejam copiados enquanto ainda íntegros para serem vendidos, prática esta que, apesar de ser ilegal, é facilmente encontrada, principalmente na deep web.
2. Erro humano
Esta é a causa mais recorrente de incidentes de segurança da informação, pois são as causas que geralmente se relacionam ao dia a dia de trabalho das pessoas.
Ela pode ser configurada quando da perda de um dispositivo com dados, da perda de documentos, da destruição ilícita de dados que não deveriam ser destruídos ou mesmo pelo envio de um e-mail incorreto, por exemplo.
Falhas relacionadas a erros humanos também podem dar azo a vulnerabilidades que serão exploradas em ataques hackers, principalmente quando consideradas estratégias de engenharia social utilizadas pelos agentes maliciosos, como o envio de links com phishings.
3. Falha nos sistemas operacionais
Hoje é impossível pensarmos nas atividades mais simples do nosso dia sem a utilização de sistemas operacionais. Nossos celulares, computadores, relógios, carros, dispositivos de cozinha, etc funcionam por meio de um sistema.
Estes sistemas, assim como as antigas engrenagens de um relógio, trabalham em conjunto processando dados, inclusive dados pessoais, para que nossas atividades possam ser realizadas.
Quando um sistema não recebe a devida manutenção, ficando obsoleto ou não passando pelas atualizações devidas, brechas podem ser deixadas e as engrenagens podem não funcionar como deveriam.
São nesses momentos em que podem ocorrer os vazamentos de dados, seja por invasão externa, provocada pela exploração de uma vulnerabilidade, seja por comandos incorretos relacionados ao caminho das informações.
O gerenciamento de um incidente de segurança da informação é essencial para evitar danos tanto para a organização quanto para os titulares. Uma equipe de especialistas com experiência neste tipo de situação é essencial nesse momento.
O que a LGPD determina em caso de vazamento de dados?
Um dos mais privilegiados princípios na Lei Geral de Proteção de Dados é o princípio da transparência. Portanto, sempre que ocorrer um vazamento de dados pessoais a LGPD determina que os agentes de tratamento façam a comunicação do mesmo.
Esta comunicação deve ser realizada para dois destinatários: O primeiro deles é a Autoridade Nacional de Proteção de Dados e o segundo são os titulares de dados possivelmente afetados pelo incidente.
A comunicação à ANPD deve ser realizada pelo Controlador dos Dados, podendo ser realizada por meio de seu Encarregado pela Proteção de Dados.
Em seu site, a Autoridade Nacional de Proteção de Dados disponibiliza formulário próprio para o peticionamento do incidente, que será processado perante a Comissão especialmente designada dentro do órgão que avaliará o ocorrido e seus efeitos.
Para tanto, ao comunicar o incidente à ANPD, o controlador deverá indicar, além do resumo do ocorrido, quais dados foram vazados, quais os possíveis danos aos titulares, e se o vazamento pode acarretar risco ou dano relevante aos titulares.
Além disso, o agente de tratamento que der causa ao vazamento de dados deve indicar já na comunicação do incidente à ANPD, as melhorias tomadas após o incidente para mitigar os riscos destes danos.
O prazo para que o agente de tratamento faça a comunicação do incidente de segurança à ANPD é de 48 horas, portanto, uma vez identificada a situação, não há tempo a se perder.
Além disso, deve o agente de tratamento atingido pelo vazamento de dados pessoais comunicar o incidente aos titulares de dados que possivelmente foram atingidos pelo vazamento de dados.
Preferencialmente esta comunicação deve ocorrer de forma individualizada a cada um dos titulares, mas na hipótese onde não for possível a comunicação pessoal, deverá ser feita de forma clara e ostensiva em seu site e mídias sociais.
A boa-prática recomendada pela Autoridade Nacional de Proteção de Dados é que todas as organizações tenham um plano de contenção e resposta a incidentes com dados pessoais onde estejam materializadas as ações a serem realizadas quando estes ocorrerem.
O gerenciamento de um incidente de segurança da informação é essencial para evitar danos tanto para a organização quanto para os titulares. Inclusive, é uma prática prestigiada com um atenuante de eventual penalização a ser aplicada pela ANPD.
Isso porque, a LGPD, assim como os demais regramentos de proteção de dados prestigiam muito a questão relacionada ao chamado “accountability”, ou seja, a prestação de contas do que ocorreu e do que foi feito.
Esse termo é inclusive materializado como um princípio na lei, inscrito em seu artigo 5º, inciso X, que assim diz:
X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Uma equipe de especialistas com experiência neste tipo de situação é essencial nesse momento, e deverá atuar tanto na identificação do incidente, quanto em sua contenção e comunicação aos titulares e à ANPD.
Não é demais lembrar da obrigatoriedade das empresas em nomearem em Encarregado de Dados, que poderá auxiliar também no atendimento aos titulares de dados que buscarem informações sobre o ocorrido.
Artigo 42 da LGPD
O artigo 42 trata da responsabilidade civil do agente de tratamento de der causa a danos morais ou patrimoniais, individuais ou coletivos, aos titulares de dados em razão do tratamento irregular de dados pessoais ou da não observância da LGPD.
Assim como diversas outras legislações que tratam de direitos difusos e coletivos, a LGPD não deixou de regular a responsabilidade civil do agente de tratamento com relação aos dados a que der causa.
Percebemos um estreito paralelo desta responsabilização com a do fornecedor para com o consumidor prevista no Código de Defesa do Consumidor, sendo que ambas derivam da responsabilidade civil prevista nos artigos 186, 187 e 927 do Código Civil Brasileiro.
Neste sentido, temos como conclusão que, independentemente das penalidades administrativas provenientes de um processo fiscalizatório pela ANPD, o agente de tratamento que causar danos ao titular de dados, poderá responder judicialmente pela reparação destes.
Os processos discutindo danos morais e patrimoniais relacionados à LGPD vem crescendo de modo exponencial no Brasil, portanto, deve ser uma preocupação para as organizações, pois podem representar grande massa contenciosa.
Em razão da especificidade da matéria, recomendamos também a contratação de advocacia especializada para patrocínio das defesas nestes processos, pois uma defesa bem construída, que desvincule o nexo causal entre o fato e o dano, são essenciais nestes casos.
Quais são as sanções da LGPD em caso de vazamento de dados?
Não existem sanções específicas na LGPD para as hipóteses de vazamento de dados pessoais, porém, é certo que a lei discrimina sanções para o seu descumprimento e isso será avaliado quando da ocorrência do incidente.
Neste sentido, é correto afirmar que, apesar de não haver na LGPD uma sanção específica para um vazamentos de dados, o agente de tratamento que der causa ao incidente, se tiver desrespeitado o que determina a LGPD, poderá ser penalizado com um das sanções previstas em seu art. 52, que prevê a possibilidade de aplicação de:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Dentro de um cenário empresarial, a sanção mais temida é a multa por vazamento de dados, que, caso seja aplicada, respeitará o prevê a LGPD, tanto com relação à forma de fixação, quanto com relação aos valores.
Multas por vazamentos de dados no Brasil não são tão comuns, mas existem vários casos sendo discutidos em Juízo, como, por exemplo, o vazamento de dados pessoais ocorrido junto à Serasa Experian.
Neste caso, o Ministério Público Federal pede a condenação da Serasa Experian ao pagamento de multa de aproximadamente 30 milhões de reais por ter vazado dados de mais 100 milhões de brasileiros.
Conforme já dissemos, essas penalidades administrativas não excluem, contudo, eventuais penalidades cíveis ou criminais.
É possível que o agente de tratamento que der causa a um vazamento de dados receba condenações judiciais relativas a danos patrimoniais ou extrapatrimoniais experimentados pelos titulares de dados.
Seja na esfera administrativa, seja na esfera judicial, uma boa defesa pode evitar multas pesadas ou o prejuízo da imagem da sua empresa. Nosso time está preparado para atuar em processos envolvendo incidentes com dados pessoais. Consulte-nos.
É crime vazar dados pessoais?
Apesar de a LGPD nada ter mencionado a respeito da responsabilidade criminal em razão de incidentes de segurança, a interpretação da norma jurídica permite chegar a conclusão de que sim, é crime vazar dados pessoais.
Isto porque, o artigo 82 do Código Civil Brasileiro, conceitua bem móvel como “os bens passíveis de movimento próprio, ou de remoção por força alheia, sem alteração da substância ou da destinação econômico-social”.
Uma vez conceituados os dados pessoais como bens móveis, podemos aplicar às hipóteses de vazamentos de dados o tipo penal contido no artigo 155 do Código Penal que disciplina o crime de furto, a saber:
“Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:
Pena – reclusão, de um a quatro anos, e multa.”
Dentro deste tipo penal, encontramos ainda situações atenuantes e agravantes, que incidirão de acordo com os fatos que permearam o vazamento de dados para agravar ou diminuir eventual pena aplicada contra o autor do vazamento de dados.
Não é demais lembrar que além deste tipo penal, ainda podemos encontrar dentro do Código Penal uma tipificação de crime recente, que surgiu após a situação de exibição de fotos íntimas da atriz Carolina Dieckmann.
Após o ocorrido, foi proposta a alteração do Código Penal para tornar crime as invasões a dispositivos móveis privados, tendo sido aprovada a Lei 12.737/2012, também denominada Lei Carolina Dieckmann, que acresce ao Código Penal o seguinte crime:
“Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 14.155, de 2021)
- 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
Portanto, apesar de não haver no ordenamento jurídico um artigo específico sobre o crime de vazamento de dados pessoais, é certo que, a penalização criminal por estas ações ilícitas é amparada pela lei.
Deste modo, além das penalidades administrativas e cíveis previstas na LGPD, o autor de um vazamento de dados pode responder ainda pelos atos praticados na esfera criminal com penas que podem chegar a até 4 anos de prisão.
O mesmo ocorre para quem praticar o uso indevido de dados pessoais de um dispositivo móvel alheio, portanto, vale a recomendação de contratação de assessoria jurídica especializada para cuidar de casos de vazamentos.
Quais as consequências de um vazamento de dados para as empresas?
Conforme explicamos, uma empresa onde houver vazamento de dados pessoais pode sofrer penalizações administrativas, cíveis e penais.
As punições administrativas, serão aquelas descritas no art. 52, que prevê a possibilidade de aplicação de:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As penalidades cíveis as quais se sujeita a empresa, são aquelas mencionadas no artigo 42 da LGPD e derivadas dos artigos 186, 187 e 927 do Código Civil Brasileiro e são configuradas por danos patrimoniais ou extrapatrimoniais que o titular de dados experimentar.
Além disso, o autor do ato ilícito que tiver dado causa ao vazamento de dados, a depender dos fatos, poderá também responder criminalmente pelos crimes previstos nos artigos 154-A e 155 do Código Penal.
Quanto à responsabilização das empresas, é imprescindível nos atentarmos também para a jurisprudência que tem se consolidado no Superior Tribunal de Justiça (STJ) relacionada ao dever das empresas de darem segurança aos dados pessoais tratados.
Segundo o STJ, no julgamento do REsp 2.147.374-SP, as empresas e órgãos públicos possuem uma responsabilidade civil ativa com relação à segurança com dados pessoais, sendo sua obrigação promover um ambiente seguro, com a adoção de medidas de governança dos dados.
Além disso, a obrigação legal gera uma expectativa, uma presunção, de adoção de medidas de segurança suficientes para evitar incidentes com dados pessoais e isso implica em promover treinamentos internos dos colaboradores para que não derem causa a incidentes.
O consumidor pode processar uma empresa por vazamento de dados?
Os consumidores que tiverem seus dados pessoais vazados em um incidente de segurança da informação podem processar as empresas e exigirem a reparação por danos comprovadamente experimentados.
A responsabilização administrativa por vazamento de dados não caberá ao consumidor, que poderá apenas denunciar a situação junto à Autoridade Nacional de Proteção de Dados, a quem caberá investigar o ocorrido e punir o agente de tratamento.
Já a responsabilização criminal fica a cargo do Ministério Público, por serem os crimes dos artigos 154-A e 155 do Código Penal processados por meio de ações penais públicas, o que também não impede o consumidor de noticiar o crime às autoridades policiais.
A busca pela reparação civel dos danos experimentados em razão da utilização indevida de seus dados pessoais pelo consumidor poderá se dar tanto na Justiça Comum, onde precisará de um Advogado para representá-lo, como junto aos Juizados Especiais Cíveis.
Em qualquer das esferas onde a organização responde pelo vazamento ocorrido, é absolutamente imprescindível que seja assistido por advogados especializados em Lei Geral de Proteção de Dados, pois os prejuízos podem ser bastante significativos, tanto financeiramente, quanto para a reputação da organização.
Como comprovar vazamento de dados?
Encontramos na internet alguns sites que disponibilizam ferramentas que identificam se o titular teve seus dados vazados na internet ou na Deep Web. Uma delas é o site “Have I Been Pwned?“
Se você usa o gerenciador de senhas do Google também é possível fazer um check-up de suas senhas em uma das ferramentas disponibilizadas pelo Google. Dessa forma, é possível fazer a troca para não correr o risco de ter a conta invadida.
Como denunciar o vazamento de dados?
A Lei Geral de Proteção de Dados prevê como um dos direitos do titular de dados pessoais o direito ao peticionamento em relação aos seus dados contra o controlador perante a autoridade nacional de proteção de dados.
Para tanto, no próprio site da Autoridade Nacional de Proteção de Dados, o titular de dados pode formular uma denúncia contra o agente de tratamento de dados que tenha dado causa a um incidente com os seus dados pessoais.
Para abrir o requerimento de denúncia, o titular de dados não precisa de um advogado, podendo acompanhar seu requerimento pelo próprio site da Autoridade Nacional de Proteção de Dados.
Além disso, o titular de dados pode buscar as vias judiciais para ver atendidos direitos ou reparados danos causados por organizações que violarem a Lei Geral de Proteção de Dados.
Alguns Tribunais de Justiça, inclusive, já possuem classificações de ações específicas para tratar de assuntos relacionados a danos relacionados ao mau tratamento de dados pessoais.
Não obstante, a ANPD pode ser acionada pelos órgãos de fiscalização dos direitos fundamentais que constarem uma violação à Lei Geral de Proteção de Dados.
A ANPD já firmou diversos convênios com órgãos de fiscalização e proteção de setores da sociedade civil, possuindo braços fiscalizatórios bastante presentes em praticamente todos os setores.
Mas, mesmo que não haja um convênio firmado, a provocação da ANPD pode ser feita por órgão interessado ou organização da sociedade civil ligada ao titular de dados prejudicado, seja em uma esfera individual ou coletiva.
Independentemente da forma como acionada, se a ANPD for acionada para fiscalizar a sua empresa, a atuação de um profissional que seja realmente especialistas em Lei Geral de Proteção de Dados é indispensável.
Como evitar um vazamento de dados?
Para evitar um vazamento ou o uso indevido de dados pessoais, é imprescindível que as organizações busquem estar em conformidade com a Lei Geral de Proteção de Dados.
Para isso, o recomendado é que os agentes de tratamento implementem medidas técnico-administrativas de segurança da informação em bancos de dados físicos e digitais.
Além disso, é muito importante que adotem medidas de boas-práticas, assim como políticas internas, regras de conduta, formalização de processos e construção de documentos que evidenciem e mensuram os riscos e medidas de mitigação dos impactos destes riscos.
A sua empresa está preparada para atender aos titulares de dados? Você possui em seu site um canal de comunicação à disposição para que o titular de dados possa exercer os seus direitos? Se não, faça imediatamente! Nós podemos te ajudar.
Compliance contribui para o cumprimento da LGPD?
O próprio Superior Tribunal de Justiça, no julgamento do REsp 2.147.374-SP, reconheceu que o compliance de dados é medida essencial para evitar incidentes de segurança da informação e responsabilização das organizações por danos aos titulares de dados.
O compliance de dados pessoais envolve alguns princípios como autorização para coleta de dados, proteção contra acessos indevidos, atendimento aos direitos dos titulares de dados e transparência.
Para a implementação do compliance de dados pessoais, é necessário que a organização faça um bom mapeamento de riscos, crie códigos de conduta, políticas e diretrizes, revise e adeque seus contratos, treine e capacite seus colaboradores e mantenha o monitoramento dos processos.
O compliance de dados pessoais, certamente reduzirá muito os riscos de vazamentos e uso indevidos de dados pessoais, evitará penalizações e fortalecerá a confiabilidade da organização que for capaz de construir uma cultura de privacidade de dados.
