Incidentes de segurança e a LGPD

A Lei nº 13709/2018, conhecida como a Lei Geral de Proteção de Dados, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais (art. 1º). A lei, dentre outras coisas, determina obrigações de segurança para os agentes de tratamento de dados, assim como regula as hipóteses de ocorrência de incidentes de segurança e suas consequências. A LGPD impõe aos agentes de tratamento de dados obrigações de segurança e a comunicação à ANPD e aos titulares de dados em caso de incidentes de segurança, apesar de ainda haver incertezas sobre como se dará esse processo. A intenção aqui é, portanto, traçar umas linhas gerais sobre a ideia de segurança na lei.

Obrigações de segurança na LGPD

A LGPD aparece como resultado de anos de debates sobre a necessidade de pôr um freio no uso de dados por parte de empresas e de conceder uma maior autonomia ao titular dos dados pessoais através da afirmação legal da autodeterminação informativa, ou seja, do poder de escolha dos titulares dos dados pessoais sobre o que pode ou não ser feito com as suas informações. Além disso, a lei acaba por aumentar a segurança jurídica para as empresas, já que se trata de lei específica sobre o uso e tratamento de dados pessoais.

O referido diploma legal eleva a segurança a um princípio norteador do tratamento dos dados pessoais, constante do art. 6º, VII, segundo o qual a segurança se constitui na “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. A LGPD, portanto, procura nivelar o tratamento de dados pessoais, agregando proteções às já existentes no ordenamento jurídico brasileiro. As medidas de segurança, além de servir a uma maior proteção dos titulares, partem da premissa de que os benefícios do tratamento de dados pessoais devem vir acompanhados de obrigações para as empresas, para os Estados e para as próprias pessoas, garantindo a efetiva proteção à privacidade dos titulares.

Assim, a partir da vigência da LGPD, passa a ser uma obrigação das empresas que realizam tratamento de dados pessoais a adoção de medidas mitigadoras neste processo. Mas o rol de medidas de segurança não se limita à restrição de acesso de pessoas não autorizadas. Há outras providências que podem ser adotadas pelos agentes de tratamento de dados que são capazes de cumprir com os requisitos legais.

Uma dessas providências é a anonimização dos dados. Neste ponto, cabe mencionar que a LGPD optou pelo conceito mais amplo de dado pessoal, ou seja, que abarca tanto as informações que identificam ou que podem identificar uma pessoa natural (art. 5º, I). Já sobre o dado anonimizado, dispõe a lei que é “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (art. 5º, III).

Além disso, o art. 12 da LGPD excetua os dados anonimizados da aplicação da lei, considerando que tais dados não são dados pessoais para os fins legais, exceto quando a técnica usada para anonimizar puder ser revertida, com esforços razoáveis para tanto.Portanto, do ponto de vista técnico, a anonimização pode ser concretizada através de diversas técnicas diferentes. Em comum entre as técnicas de anonimização está o fato de que elas promovem modificações nos dados originais, fazendo com que eles, quando anonimizados, não se pareçam com os originais, possuindo, contudo, semântica e sintaxe semelhantes.

As técnicas de anonimização são utilizadas para várias finalidades, especialmente para a disponibilização de bancos de dados abertos para fins de pesquisa ou transparência de políticas públicas. Entretanto, elas têm passado por revisões no campo da ciência da computação, visto que estudos estão demonstrando de forma recorrente que o processo de anonimização é falível, ou seja, não existe ainda técnica possível de anonimização dos dados que seja 100% confiável, em virtude dos cada vez mais potentes algoritmos de machine learning e mineração de dados. Por isso, criou-se a ideia de pseudonimização.

O Grupo de Trabalho de Proteção de Dados do Artigo 29, da União Europeia, conceitua o processo de pseudonimização como o ato de “substituir um atributo (tipicamente um atributo único) em um registro por outro”, em uma ação de mascaramento ou disfarce de identidade. 

Essa distinção está colocada na própria LGPD. No art. 13, § 4º, é possível verificar a definição anteriormente traçada a respeito da pseudonimização, além do fato de que as informações adicionais devem ser mantidas separadas pelo controlador em ambiente controlado e seguro. Assim, impõe-se uma camada a mais de dificuldade e, consequentemente, segurança, na junção das duas bases de dados. 

Outra providência que pode ser adotada é a encriptação dos dados. A criptografia é uma importante ferramenta na construção de um sistema seguro de tratamento de dados pessoais. Ela garante o sigilo, a integridade e a autenticação de mensagens trocadas entre duas ou mais pessoas ou entre aplicações. Apesar de não ser tratada expressamente no texto da LGPD, o GDPR, regulamento de proteção de dados da União Europeia, indica, no art. 32, a cifragem dos dados pessoais como uma das “medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco”. Por isso, e pelas propriedades asseguradas pela criptografia, recomenda-se a adoção desta técnica como medida de segurança nas operações de tratamento de dados pessoais. 

A LGPD ainda traz, entre os arts. 46 e 49, que tratam das disposições sobre segurança que devem ser adotadas pelos agentes de tratamento de dados pessoais, a privacidade por design (privacy by design), prevista no art. 46, § 2º. É a necessidade de adoção, desde a concepção do produto ou serviço até a sua execução, das medidas de segurança a que se refere o caput do dispositivo, que garantam a privacidade e a proteção dos dados pessoais desde as fases iniciais.

Comunicação de incidentes de segurança

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) abriu uma tomada de subsídios sobre o tema dos incidentes de segurança. O objetivo era receber contribuições da comunidade sobre os procedimentos para comunicação dos incidentes de segurança, tanto para a ANPD quanto para os titulares de dados, a fim de que a Autoridade possa elaborar regulamentação sobre este ponto da lei.

Como dito anteriormente, a LGPD determina, no art. 48, que os incidentes de segurança sejam comunicados à Autoridade e aos titulares e, no §1º do mesmo artigo, determina os requisitos mínimos que devem estar presentes na referida comunicação. 

Mas o dispositivo legal também se refere à possibilidade de o incidente causar “risco ou dano relevante” ao titular dos dados, embora não haja uma definição do que se entende por “risco ou dano relevante”. 

Neste ponto, é importante destacar que o risco ou dano devem ser presumidos como risco da operação, e aqui deve ser considerado o disposto no Código de Defesa do Consumidor sobre a responsabilidade civil objetiva do prestador de serviço.

Além disso, a avaliação de risco e dano deve levar em conta a amplitude de direitos fundamentais conexos à proteção de dados pessoais. Deverá cobrir a possibilidade de danos imateriais, como morais ou psicológicos/emocionais (discriminação, difamação, prejuízos à reputação); materiais (perda ou dano à propriedade), ou à integridade física (como danos à saúde, agressão física ao risco de morte). Uma leitura expansionista no que diz respeito aos direitos dos titulares também avaliaria a possibilidade do incidentes de segurança serem capazes de provocar situações de calamidade pública (e.g. prejuízos ao suprimento de energia de uma região) ou riscos à segurança nacional (e.g. nome e endereços de agentes da inteligência infiltrados). Quaisquer camadas de danos aos direitos dos titulares são igualmente relevantes para o pronto envolvimento da ANPD na questão. 

Em relação às comunicações sobre os incidentes de segurança, além daquelas informações dispostas no art. 48, § 1º, o controlador deve informar a natureza do vazamento, ou seja, se são violações de confidencialidade (quando a divulgação de dados sigilosos não for autorizada ou foi violada acidentalmente); violações de integridade (quando há alteração não autorizada ou acidental de dados pessoais) ou se são violações de disponibilidade (quando há uma perda acidental ou maliciosa de acesso ou destruição de dados pessoais). Da mesma forma, deve ser informada a razão do vazamento, se foi, por exemplo, originado por culpa ou por dolo, por má-fé de funcionário interno ou acesso por terceiro não autorizado. Essas informações ajudarão a ANPD a determinar a melhor conduta na solução do incidente. 

Da parte dos titulares dos dados, é necessária uma comunicação direta e individual, sempre que possível, como regra geral. A comunicação em veículos de mídia deve ser tratada como exceção ou complemento à comunicação individualizada, para os casos em que não é possível contatar os titulares de dados ou quando eles forem em grande número.

Adicionalmente, deve-se adotar a noção de que trata-se de um público não especialista no tema, que pode não compreender mensagens muito técnicas, razão pela qual a comunicação deve ser feita em linguagem clara e acessível, evitando termos técnicos sempre que possível. Deve também se pautar pela transparência, informando todos os termos da ocorrência, como ela se deu e o que foi ou vai ser feito para mitigar o problema, além das possíveis consequências que os titulares dos dados poderão enfrentar. Por fim, entendemos que deve haver uma forma de contato entre o titular e o controlador dos dados, para o caso de restarem dúvidas a serem sanadas. 

Em linhas gerais, os incidentes de segurança devem ser comunicados, tanto à ANPD quanto aos titulares, com o máximo de transparência possível. Além disso, a Autoridade deve sempre prezar pela proteção dos direitos dos titulares de dados em sua atuação, de forma a resguardar a parte mais vulnerável e, assim, estabelecer, tanto quanto possível, uma relação equilibrada entre as partes.