Ocorreu um incidente de segurança no tratamento de dados pessoais, e agora?
A Lei Geral de Proteção de Dados Pessoais (LGPD) é bastante clara ao afirmar que a atividade de tratamento de dados pessoais deverá pautar-se na boa-fé e em princípios que a própria LGPD cuidou de estabelecer.
Entre esses princípios encontra-se aquele que trata da responsabilização e prestação de contas.
Significa dizer que o agente de tratamento deverá demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive, a eficácia dessas medidas (art. 6º, X).
Nesse sentido, diante de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a LGPD estabelece como primeiro passo o dever do controlador em comunicar o fato à Autoridade Nacional de Proteção de Dados (ANPD), bem como aos próprios titulares envolvidos.
Todavia, é importante que se saiba que o comunicado é um procedimento cercado de requisitos e formalismos, todos eles prescritos no texto da Lei.
Entre as exigências é possível citar aquela que trata da necessidade de que o comunicado ocorra no menor espaço de tempo possível, antes de graves repercussões, devendo ser mencionado, entre outros, os seguintes requisitos: natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança que foram utilizadas para a proteção dos dados, os riscos relacionados ao incidente, assim como as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos de um eventual prejuízo.
Além disso, é preciso ter a consciência que a ANPD poderá, conforme o caso, determinar que o controlador faça ampla divulgação do fato nos meios de comunicação, medida extremamente prejudicial à imagem da empresa.
Não podemos deixar de mencionar que a LGPD também trata sobre a aplicação de sanções administrativas (multas) pela inobservância da lei, assim como da responsabilização civil pelos danos que possam causar ao titular, inclusive em decorrência de incidentes de segurança.
Todas essas razões demonstram, além do rigor da LGPD, a necessidade de que as empresas invistam em programas de adequação, levando-se sempre em consideração requisitos de segurança, governança e atenção aos princípios que justificam o tratamento de dados pessoais.
Karim Rodrigues Jardim
Advogado | Especialista em Direito Processual Civil e especializando em Direito Médico
Administrador com MBA em Gestão Hospitalar
