Há alguns dias atrás foi noticiado um vazamento massivo que expôs quase a população brasileira inteira. Foram vazados dados de mais de 220 milhões de pessoas no Brasil, incluindo informações sobre CPF, endereço, telefone, e-mail, salário, renda, score de crédito, fotos e muitos outros dados pessoais. E a situação fica mais grave, pois alguns sites e fóruns da internet estão oferecendo esses dados pessoais. Esse é um dos mais graves incidentes de segurança de dados aqui no Brasil e até agora não se sabe de ondem provém todos esses dados. Alguns suspeitam que seja um vazamento da Serasa Experian, mas a empresa nega. E aí? O que fazer no caso de violação de segurança de dados?
Nesse caso em específico, ainda não há muito o que fazer pois a questão é tão complexa, que não foi apurada devidamente até o momento. Nenhuma empresa assumiu a responsabilidade, então fica difícil até mesmo exigir uma reparação de danos.
Esse não foi o único caso de vazamento de dados no Brasil, ano passado o Ministério da Saúde deixou exposto dados de 243 milhões de brasileiros, só para se ter uma noção. Outros incidentes também ocorreram nos últimos anos. O fato é: estamos vulneráveis e precisamos ficar atentos sobre onde e com quem compartilhamos os dados. E, por outro lado, as empresas também precisam se adequar à LGPD e aos padrões necessários de segurança de dados, é uma exigência urgente.
Então, neste artigo eu vou explicar um pouco sobre o que uma empresa deve fazer quando ocorre uma violação de dados pessoais. Quais procedimentos ela precisa adotar e quais etapas ela precisa seguir. Também vou falar um pouco sobre como nós, titulares de dados, podemos proteger um pouco mais nossas informações pessoais.
O que é violação de dados pessoais?
Antes de mais nada, é importante entender que todos esses vazamentos de dados pessoais são chamados genericamente de incidentes. Os incidentes podem ser de segurança ou de dados pessoais.
O incidente de segurança, ou violação de segurança, ocorre quando há um evento que pode causar um risco ou um dano nas redes de sistema de informação. Ele pode ocorrer quando alguém obtém acesso não autorizado ao sistema ou quando algum software é danificado, por exemplo.
Já o incidente de dados pessoais, ou violação de dados pessoais, é um tipo de incidente de segurança que causa riscos ou danos a dados pessoais. Então, quando a falha de segurança causa o vazamento de dados, a destruição de dados ou acesso não autorizado a dados pessoais, existe uma violação de dados pessoais.
Atenção a esse ponto: nem sempre quando há incidente de segurança necessariamente haverá uma violação de dados pessoais.
Todas as pessoas que tratam dados pessoais correm o risco de sofrer um incidente de segurança ou uma violação de dados pessoais, isso é fato. Por isso é necessário que sempre adotar medidas adequadas de segurança da informação e proteção de dados pessoais. A violação de dados pessoais deixa as pessoas vulneráveis a fraudes, exposições indevidas, roubo, discriminação, estelionatos e perdas financeiras.
Mas e quando acontece um incidente de segurança que causa a violação de dados pessoais, o que fazer? Vamos analisar quais as atitudes que as empresas precisam tomar em caso de incidentes.
O que a empresa deve fazer no caso de violação de dados pessoais?
A primeira coisa que a empresa deve fazer ao ficar sabendo de uma violação de dados pessoais é apurar o caso. Identificar quem foram os responsáveis, qual a causa da violação dos dados e quais os dados e a quantidade de dados que foi violada.
O ideal é que a empresa já tenha preparado um plano de resposta a incidentes, com todos os protocolos e etapas que os colaboradores devem seguir para apurar e minimizar os danos. Mas, caso a sua empresa não tenha esse plano de resposta, aqui vão alguns itens que não podem faltar no seu plano de resposta:
- A definição do tipo de incidente (se é de segurança ou violação de dados);
- Lista de tarefas a serem feitas e quem será o responsável por realizar cada uma delas;
- Criação de um Comitê de Crise e seus integrantes;
- Identificação e contato dos gestores da empresa que vão atuar na resposta (ex. diretor, gerente, etc.);
- A descrição de quais ferramentas e recursos vão ser utilizados quando um incidente ocorrer;
- Definir se vai ou não ser contrata uma consultoria externa para auxiliar na gestão da crise;
- Definir se vai ou não contratar seguros com cobertura de incidentes;
- Estruturar o padrão de resposta ou comunicação que serão feitas aos titulares de dados afetados;
- Realizar testes e simulações.
Esses são apenas alguns itens a serem considerados num plano de resposta a incidentes. Cada empresa tem suas particularidades e necessidades específicas, então esse plano de resposta tem que estar adaptado à realidade da empresa. Por isso, é sempre importante contar com uma consultoria jurídica especializada!
O que fazer logo após ficar sabendo do incidente?
A resposta é simples: manter a calma e seguir o plano de resposta a incidentes.
Mas para quem ainda não tem esse plano, o mais importante é avaliar se o incidente causa risco ou danos aos titulares de dados pessoais. Isso porque se o incidente for relevante e grave, é necessário fazer uma notificação à Autoridade Nacional de Proteção de Dados – ANPD (vamos falar disso já já).
Então, para avaliar se o risco é relevante, é preciso levar em consideração algumas questões:
- Qual foi o tipo de violação – se foi vazamento de dados, se o sistema ficou fora do ar, se os dados foram destruídos, etc.
- Qual o tipo de dado que foi violado e o volume – é preciso verificar se foram vazados CPF, identidade, fotos, prontuários médicos, etc., e também a quantidade de dados vazados e quantas pessoas foram afetadas.
- Avaliar se é fácil ou não identificar o titular – as vezes o dado que foi vazado foi um e-mail, ou as vezes foram vazados dados criptografados, o que dificulta identificar quem é a pessoa por trás daquele dado. Quanto mais difícil a identificação da pessoa, menos risco há.
- Avaliar qual a gravidade das consequências para os titulares de dados – pode ser que o incidente não cause consequências aos titulares, mas pode ser que eles sofram risco de fraude ou discriminação, e isso é bem grave.
- Elementos gerais – aqui se avaliam qualquer outra característica relevante sobre o vazamento.
Depois de considerar todas essas questões, é possível avaliar se o risco é relevante e se vai ser necessário ou não notificar a ANPD.
Notificação à ANPD e aos titulares de dados pessoais
A LGPD impõe o dever de notificar a ANPD e aos titulares de dados quando há incidentes que possam gerar risco ou danos a dados pessoais.
Então, depois de analisar a dimensão do incidente, você deve preparar uma notificação, em prazo razoável, que contenha todos os tópicos do art. 48 da LGPD. Vamos a eles:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata; e
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
É importante que a comunicação feita ao titular de dados afetado pelo incidente seja feita em linguagem acessível, trazendo todas as informações de forma clara e transparente. Ela também deve ser feita em algum meio que facilite a comunicação, como SMS, e-mail, mensagem no site da empresa, etc. Nessa hora, é importante ser bem transparente com o titular, mostrar o que ocorreu, quais são os riscos, quais medidas estão sendo tomadas e também quais atitudes podem ser tomadas pelo próprio titular para minimizar os riscos, como troca de login, de senha, etc.
Medidas de segurança que podem ser adotadas em caso de violação de dados
Cada caso é um caso, então não é possível dar uma receita de bolo sobre quais medidas se segurança adotar. Aqui vou dar apenas algumas sugestões, mas existem muitas outras que podem ser adotadas no caso de violação de dados.
Para prevenir a ocorrência de violação, é importante:
- Fazer treinamentos de colaboradores quanto à segurança da informação e a cultura de proteção de dados;
- Incorporar a cultura de proteção de dados em todos os aspectos e etapas do negócio;
- Implementar uma Política de Segurança.
Quando já ocorreu o incidente, é importante avaliar onde ocorreram as falhas e, daí, adotar medidas como:
- Orientar os titulares de dados a modificar senhas de sistemas e aplicativos;
- Rever e atualizar os sistemas de segurança;
- Implantar softwares de proteção de dados;
- Criptografar, na medida do possível, os dados pessoais existentes para que, caso haja incidente de segurança, não será possível identificar as pessoas;
- Realizar testes de segurança periódicos.
E o que eu posso fazer para proteger mais os meus dados?
Nós, como titulares de dados pessoais, precisamos ficar muito atentos a respeito dos dados que compartilhamos, onde os compartilhamos e com quem os compartilhamos. Para evitar que sejamos vítimas de fraude ou de outra atividade prejudicial, é importante tomarmos os devidos cuidados, como:
- Não compartilhar dados pessoais como CPF, e-mail e identidade em qualquer lugar e qualquer site (preste atenção naqueles lugares que pedem dados pessoais para ter acesso ao wi-fi;
- Usar senhas mais complexas nos e-mails, apps ou outros sistemas, contendo números, letras maiúsculas e minúsculas, caracteres especiais;
- Monitorar a atividade dos cartões de crédito e, se identificar um uso que não seja seu, comunicar imediatamente ao banco;
- Sempre que possível, não deixar dados bancários e de cartão de créditos salvos em sites de e-commerce;
- Acionar a confirmação de duas etapas em apps como whatsapp, instagram, e-mail.
Existem outras maneiras de se manter mais seguro, essas são as mais comuns e as mais simples de fazer. Sempre que notar alguma atividade estranha usando seus dados pessoais, não deixe de comunicar as autoridades!
Além disso, caso for vítima de vazamento de dados e sofrer prejuízo, você tem todo o direito de requerer a reparação por danos morais e materiais do responsável pela violação de dados. Por isso empresas, fiquem atentam e comecem, desde já, a implantar medidas de segurança e proteção de dados nos seus negócios!
Referências
Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais. Acesse aqui.
Análise jurídica dos incidentes de segurança e a responsabilidade civil no Brasil – Vitor Eduardo Lacerda de Araújo e Douglas Dias Vieira de Figueredo.
Excelente publicação Professora!
Muito obrigada!
Excelente publicação sobre o tema violação de dados em função da nova
LGPD. Aprendi , agradeço o compartilhamento.
Fico muito feliz com o seu feedback!