ANPD: confira recomendações de segurança

A entidade responsável pela aplicação da LGPD no Brasil já iniciou o trabalho referente às recomendações de segurança de dados que deverão ser observados

ANPD: confira recomendações de segurança ANPD: confira recomendações de segurança

Por Gustavo Chaves Barcellos e Layon Lopes*

Recentemente, foram lançadas preliminarmente as recomendações de segurança da Autoridade Nacional de Proteção de Dados (“ANPD”), órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (“LGPD”) em todo o território nacional. 

Estas primeiras recomendações de segurança da ANPD, na realidade, visam regulamentar a forma como incidentes com dados pessoais devem ser comunicados à entidade. Trata-se de uma das iniciativas da ANPD referente à agenda regulatória do órgão que prevê o início do processo de regulamentação ainda para o primeiro semestre deste ano.

Lembra-se que, dentre as atribuições da ANPD, estão: 

  • zelar pela proteção dos dados pessoais, nos termos da legislação; 
  • zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais;
  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;                   
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo;
  • apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
  • promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  • estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
  • promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
  • solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado;
  • elaborar relatórios de gestão anuais acerca de suas atividades;
  • editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais;
  • ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
  • arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
  • realizar auditorias, ou determinar sua realização;
  • celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos;
  • editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD;
  • garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento;
  • deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
  • comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  • comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
  • articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e                  
  • implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.                  

No que tange às recomendações de segurança da ANPD propriamente ditas, chama atenção que o órgão, primeiramente, define o que é um incidente de segurança com dados pessoais, sendo ele qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

Lembrando que cabe aos Agentes de Tratamento de Dados Pessoais, Operador e Controlador em conjunto, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

O Controlador, ou seja, a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais, deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. 

Dentre as recomendações de segurança da ANPD sobre este ponto, o órgão recomenda que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Neste sentido, a ANPD entende que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

Para que os Agentes de Tratamento possam atender às recomendações de segurança da ANPD, eles devem fornecer informações claras e concisas (entretanto, aqui cabe destacar que a ANPD não indica parâmetros de clareza a serem observados). Segundo a LGPD, a comunicação será feita em prazo razoável (na lei, não há previsão expressa de prazo), conforme definido pela ANPD, e deverá mencionar, no mínimo:

  • a descrição da natureza dos dados pessoais afetados;
  • as informações sobre os titulares envolvidos;
  • a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • os riscos relacionados ao incidente;
  • os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Além disso, a ANPD determinou que as seguintes informações sejam fornecidas:

I – Identificação e dados de contato de: (a) Entidade ou pessoa responsável pelo tratamento; (b)

Encarregado de dados ou outra pessoa de contato; (c) Indicação se a notificação é completa ou parcial; (d) Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.

II – Informações sobre o incidente de segurança com dados pessoais: (a) Data e hora da detecção; (b) Data e hora do incidente e sua duração; (c) Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros; (d) Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados; (e) Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento; (f) Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados; (g) Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD; (h) Resumo das medidas implementadas até o momento para controlar os possíveis danos; (i) Possíveis problemas de natureza transfronteiriça; e, (i) Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Importante destacar que, quando a ANPD for comunicada preliminarmente, o Controlador deverá informar se irá ou não fornecer informações adicionais posteriormente, bem como quais serão os meios utilizados para obtê-las. Caberá à ANPD requerer informações adicionais a qualquer momento se entender necessário.

Em recente publicação, a ANPD, visando mitigar a vagueza da LGPD, deu como exemplo de incidente de segurança os seguintes eventos: discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.

Relativamente ao prazo para comunicar à ANPD, esclarece-se que a LGPD não é expressa neste sentido, mas recomenda-se que ela ocorra com a maior brevidade possível, utilizando como parâmetro, o prazo de dois dias úteis, a contar da data do incidente. Tal parâmetro foi estabelecido com base no Decreto nº 9936/2019 (que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito). 

Em suma, verifica-se que, tendo em vista a ausência de medidas objetivas constante na LGPD, as recomendações iniciais de segurança da ANPD buscaram, ainda que minimamente, dar mais clareza aos Agentes de Tratamento de como proceder em caso de incidentes, ainda que, em alguma medida, suas manifestações também apresentaram uma vagueza que não pode ser desconsiderada. 

Neste sentido, em caso de qualquer incidente envolvendo dados pessoais, não deixe de buscar uma assessoria jurídica especializada para que ela possa dar o auxílio necessário para que a ANPD seja devidamente contatada, diminuindo-se a aplicação de penalidades futuras. 

Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!

 

*Lopes é CEO do Silva | Lopes Advogados e Chaves Barcellos é sócio do escritório.

 

PODCAST

Conheça o mercado de logtechs