Ainda que adotados mecanismos de segurança da informação, dever dos agentes de tratamento (art. 46, caput, LGPD), é possível que ocorram incidentes de segurança envolvendo dados. O vazamento de dados pode ocorrer, por exemplo, em ataques com ransomwares, em que há o “sequestro” e encriptação dos dados pessoais com o subsequente condicionamento da retomada do acesso mediante pagamento de quantias ao agente malicioso. Ainda se tratando de ataque ramsomware, criminosos passaram a utilizar uma nova modalidade, qual seja, o malware instalado na máquina compila os dados e os transmite aos hackers, em um segundo momento, os equipamentos são criptografados localmente. Desta forma, além do pedido de pagamento para o retorno ao acesso dos equipamentos criptografados, os criminosos ainda ameaçam a publicar os dados sequestrados, expondo titulares de dados.
Apesar de não haver conceito expresso na Lei Geral de Proteção de Dados (LGPD), entende-se como vazamento de dados o incidente de segurança que acarrete exposição de dados a terceiros de modo acidental ou sem autorização. Segundo classificação atribuída pelo European Data Protection Board (EDPB), o vazamento de dados seria um incidente de confidencialidade.
Em tais cenários, o primeiro passo a ser seguido é analisar se, dentre os dados vazados, há dados pessoais, aqui entendidos como aqueles que possam acarretar risco ou dano relevante aos titulares. Em caso positivo, emerge obrigação legal imposta ao agente de tratamento: o dever de comunicação.
O dever de comunicação (art. 48, caput, LGPD) direcionado à Autoridade Nacional de Proteção de Dados (ANPD) possui uma série de requisitos (art. 48, §1º, LGPD), como a descrição da natureza dos dados pessoais envolvidos, os riscos relacionados ao incidente e as medidas adotadas para mitigação dos efeitos do vazamento. A comunicação deverá ocorrer em prazo razoável que permita a atuação da ANPD voltada à proteção dos direitos dos titulares.
Ainda que ainda não haja previsão regulamentar acerca do que se considera “prazo razoável” para notificação, poder-se-ia reputar como compatível o prazo adotado pela General Data Protection Regulation (GDPR) em seu art. 33(1), qual seja, 72h, resguardada possibilidade de notificação posterior, desde que acompanhada de justificativa para demora (art. 48, §1º, V, LGPD).
“Por outro lado, a ANPD já se manifestou recomendando a realização de notificação em até dois dias úteis da ciência do incidente, apesar de não ser uma recomendação vinculante”.
Para maiores informações, contate nossa equipe de Privacidade e Proteção de Dados. Além disso, nossa equipe poderá ajudar sua empresa na implementação de mecanismos de segurança capazes de gerar maior controle no acesso a dados e auxiliá-los em eventual comunicação de incidentes, conforme instruções da Autoridade Nacional.