*Por Giulio Franchi e Natássia Alencar
Em outubro do ano passado, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou sanções de advertência a dois órgãos públicos, o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) e a Secretaria de Saúde do Estado de Santa Catarina (SES-SC). As sanções se deram em razão de violação a dispositivos da Lei Geral de Proteção de Dados (LGPD), notadamente os que tratam de deveres de comunicação de incidentes de segurança envolvendo dados pessoais e de observância de práticas de segurança nos sistemas utilizados no tratamento de dados pessoais.
Já no início deste mês, a autoridade sancionou outras duas entidades públicas, dentre as quais está o Instituto Nacional do Seguro Social (INSS), que também foi condenado por conta de falta de notificação a titulares de dados afetados por vazamentos de dados.
Apesar de todos esses órgãos terem cometido infrações consideradas graves, o que ensejaria a aplicação de multas, não houve aplicação dessa espécie de sanção por se tratar de agentes do setor público. Nestes casos, a ANPD aplicou advertências com imposição de medidas corretivas em algumas situações.
No caso do IAMSPE, a ANPD determinou que o IAMSPE ajustasse o comunicado sobre o incidente anteriormente publicado em seu site, a fim de dar mais detalhes sobre o incidente, e que notificasse à autoridade sobre o resultado de programas de melhoria dos controles nos tratamentos de dados, com apresentação de cronograma de cumprimento e evidências.
Já para a SES-SC e para o INSS, a autoridade impôs que tais instituições publicassem em seu site comunicado sobre a ocorrência de incidente de segurança e, no caso da SES-SC, que os titulares dos dados pessoais envolvidos no incidente fossem informados diretamente.
Apesar de os agentes sancionados serem do setor público, essas situações geram alguns aprendizados também ao setor privado.
De forma geral, incidentes de segurança envolvendo dados pessoais são situações que podem comprometer a confidencialidade, a integridade e a disponibilidade de dados pessoais, a exemplo de vazamentos, alterações e/ou perdas de dados. Muitos deles podem ser causados por ataques cibernéticos que exploram vulnerabilidades nos sistemas da organização, a exemplo do ocorrido com a SES-SC, que afirmou ter sido vítima de invasão criminosa às suas bases de dados.
Diante de um incidente de segurança com dados pessoais que possa causar risco ou dano relevante ao titular, o agente responsável pelos dados deve comunicá-lo à autoridade e aos titulares. Se antes não tínhamos certeza do que poderia ser considerado um risco ou dano relevante, agora temos algumas respostas da autoridade. Tanto o IAMSPE quanto a SES-SC foram sancionados pelo fato de não terem comunicado adequadamente ANPD e titulares, nos prazos determinados pela autoridade, a ocorrência de incidente que poderia gerar prejuízos a milhares de pessoas, dada a natureza dos dados possivelmente expostos.
No caso do IAMSPE, os tipos de dados afetados pelo incidente foram nome completo, estado civil, data de nascimento, CPF, RH, endereço, telefones, cópias de documentos tais como RG e CNH. Na visão da ANPD, a falta de notificação sobre o incidente no momento oportuno impediu os titulares de exercerem seus direitos e os deixaram suscetíveis ao uso indevido de identidade e fraudes financeiras. Um agravante foi que o incidente pode ter envolvido dados de mais de um milhão de titulares, entre os quais havia crianças, adolescentes e idosos.
O incidente ocorrido nos sistemas da SES-SC, por sua vez, envolveu nome completo, filiação de mãe, CPF, endereço, contato de telefone, nome do médico que realizou o atendimento, dados referentes à enfermidade e ao diagnóstico, nome da consulta ou do procedimento agendado. Assim, a exposição indevida desses dados possibilitou a aplicação de golpes a uma grande quantidade de pessoas, inclusive crianças, adolescentes e idosos.
Já o incidente detectado nos sistemas do INSS abrangeu dados como nome, CPF, NIT, identidade, data de nascimento, sexo, ramo de atividade profissional, dados bancários e quantidade de dependentes de um número indeterminado de beneficiários e segurados, o que pode ter gerado risco de furto de identidade, fraudes, assédios comerciais, entre outros.
Logo, um agente que lida com dados pessoais precisa ser capaz de avaliar se eventuais incidentes podem impedir ou limitar que o titular dos dados exerça direitos ou utilize serviços, ou podem lhe causar danos materiais ou morais, a exemplo de discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. Ainda, o agente precisa identificar se o incidente envolve dados de crianças, adolescentes e idosos, se envolve dados sensíveis, se envolve dados tratados em larga escala, se pode causar risco à vida dos titulares. Eventual falha neste diagnóstico pode custar caro para a organização.
Portanto, esses casos revelam ser essencial que as empresas contem com uma estrutura de governança de dados capaz de não só proteger adequadamente os dados, mas também de identificar a ocorrência e a criticidade de incidentes com celeridade e de maneira detalhada. Somente dessa forma será possível, quando necessário, realizar a comunicação aos titulares e à ANPD no prazo determinado pela autoridade e de acordo o conteúdo previsto na LGPD. Para além de um diferencial competitivo, a implementação de um programa de adequação à LGPD pelas empresas pode evitar o dever de indenizar uma grande massa de pessoas prejudicadas, assim como evitar a imposição de sanções pela autoridade, a exemplo das temidas multas, que só não ocorreram nos casos narrados pelo fato de os agentes sancionados serem do setor público.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).