Em resposta a processo de tomada de subsídios aberto pela Autoridade Nacional de Proteção de Dados, ressaltamos que é de responsabilidade dos agentes de tratamento de dados tomar medidas técnicas e organizacionais para PREVER, PROTEGER e AVERIGUAR a ocorrência de incidentes de segurança envolvendo nossos dados pessoais, bem como REAGIR para diminuir danos e INFORMAR rapidamente tanto a ANPD quanto os titulares dos dados (nós)

Em fevereiro, dois megavazamentos de dados deixaram muita gente preocupada com o que anda circulando de informações pessoais por aí. Um deles envolveu o vazamento de dados pessoais, como CPF, endereço e score de crédito, de 223 milhões de brasileiros. Já o mais recente teve a divulgação de dados telefônicos de mais de 100 milhões de pessoas. Com todo mundo assustado, vimos também uma profusão de links, às vezes mal intencionados, se apresentando como forma de checar se seus dados foram vazados.

Mas e se já tivéssemos bem regulamentado os passos sobre como e quando o controlador de dados pessoais têm a obrigação de nos informar sobre esses tipos de vazamentos e outros incidentes de segurança? Não faz muito mais sentido sermos informadas com detalhes sobre incidentes de segurança, sabendo o que vazou, como e quando, do que ficarmos desesperadas correndo atrás de informação em meio a vários links maliciosos?

Pois, antes tarde do que nunca: faz parte da agenda de trabalho da ANPD regulamentar a comunicação de incidentes de segurança, para tal, o órgão abriu uma tomada de subsídios para envio de contribuições por meio no formulário com as seguintes perguntas:

1. Quando um incidente pode acarretar risco ou dano relevante ao titular? Que critérios devem ser considerados pela ANPD para avaliar o risco ou dano como relevante?
2. O risco ou dano relevante deveria ser subdividido em mais categorias (ex. Baixo, médio, alto, etc)? Como distinguir os níveis? Risco ou dano baixo deve ser considerado relevante ou não relevante?
3. Como distinguir o risco ao titular do dano ao titular? Como esses conceitos se relacionam?
4. O que deve ser considerado na avaliação dos riscos do incidente?
5. Quais informações os controladores devem notificar à ANPD, além daquelas já listadas no §1º do art. 48?
6. Qual o prazo razoável para que controladores informem a ANPD sobre o incidente de segurança? (art. 48, §1º)
7. Qual seria um prazo razoável para que os controladores informem os titulares de dados sobre o incidente de segurança? (art. 48, §1º) Que informações devem constar dessa comunicação? As mesmas do §1º do art. 48?
8. Qual a forma mais adequada para a realização da comunicação do incidente aos titulares? A comunicação deve ser sempre direta e individual (por via postal, e-mail etc.) ou, em determinadas circunstâncias, pode ser admitida a comunicação pública (nota à imprensa, publicação na internet etc.)?
9. Quais seriam as eventuais exceções da obrigatoriedade de informar a ANPD?
10. Quais seriam as possíveis exceções da obrigatoriedade de informar os titulares?
11. Quais são os possíveis critérios a serem adotados pela ANPD na análise da gravidade do incidente de segurança? (art. 48, §2º)
12. Existe alguma metodologia recomendada para a análise de gravidade do incidente de segurança? Se sim, qual(is)?
13. Quais seriam sugestões de providências, incluindo medidas técnicas e administrativas, a serem determinadas pela ANPD aos controladores após a comunicação do incidente de segurança?

Como uma organização referência na defesa da proteção de dados no Brasil, a Coding Rights foi convidada pela Coordenação-Geral de Normatização da Autoridade Nacional de Proteção de Dados (ANPD) para contribuir em reunião técnica do processo de tomada de subsídios sobre dever de comunicação em casos de incidentes de segurança. Nossa reunião foi baseada em apenas duas das perguntas acima (as perguntas 9 e 10). Complementando nossa participação enviamos na quarta-feira, 24 de março, uma nota Técnica também direcionada às perguntas que nos foram colocadas: a) Quais seriam as eventuais exceções da obrigatoriedade de informar a ANPD? e b) Quais seriam as possíveis exceções da obrigatoriedade de informar os titulares?

A Nota Técnica, elaborada em parceria entre a Rafaella Nunes, cientista da computação com especialidade em cibersegurança, e nossa diretora, Joana Varon, ressalta que, em conformidade com a a Lei Geral de Proteção de Dados — LGPD (Art 46 § 1º) é de responsabilidade dos agentes de tratamento de dados tomar medidas técnicas e organizacionais para PREVER, PROTEGER e AVERIGUAR a ocorrência de incidentes de segurança envolvendo dados pessoais, REAGIR para mitigar danos e INFORMAR rapidamente a ANPD e os titulares dos dados.

Para situar o que são incidentes de segurança, destaca-se que em particular, estas medidas devem proteger os dados pessoais de acessos não-autorizados e de incidentes de segurança tanto acidentais quanto propositais capazes de comprometer a confidencialidade, a integridade e a disponibilidade dos dados.

Sobre a obrigação de informar a ANPD. O entendimento foi de que qualquer incidente de segurança que envolva comprometimento de confidencialidade, integridade ou disponibilidade de dados pessoais acarreta risco aos titulares e, como tal, a comunicação entre agentes de tratamento e a ANPD é imprescindível. Isso porque é a partir da comunicação entre agentes de tratamento e o governo brasileiro que serão traçadas estratégias efetivas de proteção de dados e que trabalhos preventivos serão desenvolvidos para evitar novos riscos e incidentes de segurança. Dessa forma, entendemos que não deve haver exceções para a obrigatoriedade de notificar a ANPD sobre incidentes de segurança que envolvam dados pessoais. Destacou-se, portanto, o caráter educacional da informação sobre incidentes de segurança, algo que também é compatível com o caráter educativo da ANPD, nos termos do artigo 55-J da LGPD.

O documento da Coding Rights também aponta, em consonância com recomendações do Article 29 Data Protection Working Party e com diretrizes de implementação da Regulation(EU)2018/1725 da União Europeia, que a ANPD deve estabelecer uma matriz de classificação de risco de incidentes de segurança para que esta possa estabelecer melhores diretrizes de atuação e mitigação e para deliberar pela obrigatoriedade de relatório de impacto à proteção de dados pessoais para determinados tipos de tratamento de dados, nos termos do artigo 32 da LGPD.

Por fim, no que diz respeito à notificação do titular de dados. Consideramos que qualquer incidente de segurança que envolva dados pessoais pode acarretar em risco ou dano para o titular do dado. Portanto, o titular deve ser notificado sempre, mesmo que medidas técnicas e organizacionais preventivas tenham sido adotadas pelo agente de tratamento. Desta forma, o titular se torna ciente dos riscos envolvidos no manuseio de seus dados e poderá buscar amparo legal, inclusive para avaliar pedidos de indenização por danos, quando cabível, bem como terá mais informações para avaliar se o agente de tratamento tem sido capaz de resolver incidentes e ser digno de alguma confiança.

Contudo, entendemos que, por motivos de segurança, podem existir situações extraordinárias em que a ANPD deva ser comunicada antes do titular de dados sobre incidentes de segurança que estão em andamento, inclusive para orientar o controlador sobre medidas de mitigação. Nesse sentido, novamente, o desenvolvimento por parte da ANPD de uma classificação de risco dos diferentes incidentes de segurança que envolvem dados pessoais pode ser importante também para estabelecer o fluxo e formato de comunicação de incidentes para titulares de dados. Tal classificação seria importante inclusive para evitar um fluxo excessivo de comunicações de incidentes com os titulares de dados, pois incidentes resolvidos e que incorreram baixo risco, por exemplo, podem ser notificados de maneira agregada.

Além das notificações por parte dos agentes de tratamento de dados, em conformidade também com sugestões do Article 29 WP, a Coding Rights acredita que a ANPD deva criar canais para permitir denúncias anônimas sobre incidentes de segurança que envolvam dados pessoais. Desta forma, empregados, clientes e jornalistas investigativos poderão notificar a Autoridade sobre possíveis vazamentos subnotificados ou irregularidades cometidas por agentes de tratamentos de dados. Nesse caso, caberá à ANPD iniciar investigações de conformidade.

Leia a Nota Técnica na íntegra AQUI.