No contexto da Lei Geral de Proteção de Dados (LGPD), um incidente de segurança da informação pode ser compreendido como acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais.
O receio de ser vítima de invasões, vazamentos e tratamentos indevidos de dados já faz parte da rotina de muitas empresas de tecnologia. Entretanto, devido ao cenário atual da pandemia do coronavírus, vemos a preocupação com incidentes aumentar, pois muitas empresas que não trabalhavam de forma remota ou online tiveram que se adaptar rapidamente a essas condições, mesmo sem ter todas as medidas técnicas e administrativas de segurança.
Por isso, uma coisa é certa: qualquer startup ou empresa no mercado está sujeita a eventos envolvendo dados que sejam indesejados ou inesperados. E o melhor a se fazer nesses casos é contar com um bom plano de resposta a incidentes para conter ou minimizar os prejuízos.
Assim, para que a sua startup esteja mais preparada, separamos abaixo 5 condutas importantes:
1) Preservar Provas
A Lei Geral de Proteção de Dados trouxe o princípio da responsabilização e prestação de contas que estabelece o dever das empresas de demonstrar a adoção de medidas eficientes, por meios capazes de comprovar a observância, o cumprimento das normas e a eficácia dessas medidas.
Além disso, a LGPD dispõe que o controlador e o operador devem manter o registro das operações de tratamento de dados pessoais que realizarem, especialmente quando o tratamento for baseado no legítimo interesse.
Assim, é preciso que a startup se preocupe não somente com os padrões técnicos e administrativos que estão sendo utilizados, mas também em como produzir provas ao seu favor.
Considerando que a reação a um incidente de segurança deve ser rápida, é recomendável que a empresa já mantenha pronto um dossiê com as comprovações de seus cuidados, contendo por exemplo: contratos com sistemas e operadores, contratos com consultorias especializadas, contratos com parceiros, certificações, termos de uso e políticas de privacidade, políticas internas, atas e registros. E, claro, é essencial que esse dossiê seja mantido em ambiente seguro e com acesso restrito.
2) Notificar as Autoridades Competentes
Sendo um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a empresa controladora dos dados deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável e deverá mencionar, no mínimo:
• descrição da natureza dos dados pessoais afetados;
• informações sobre os titulares envolvidos;
• indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• riscos relacionados ao incidente;
• motivos da demora, no caso de a comunicação não ter sido imediata;
• medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Na avaliação do incidente, a ANPD irá observar também se foram tomadas providências para que os dados pessoais afetados se tornem ininteligíveis, como nos casos de aplicações de técnicas de anonimização ou pseudonimização, para que terceiros não autorizados não possam acessá-los ou compreende-los.
3) Notificar os Titulares de Dados Pessoais
O controlador também deve notificar o titular sobre o incidente de segurança que possa lhe acarretar risco ou dano. Além do ocorrido, a pessoa física deve ser informada sobre o que será feito para solucionar ou diminuir os prejuízos, garantindo a transparência e clareza na relação.
Vale ressaltar que uma das penalidades que a Lei Geral de Proteção de Dados estabelece é a publicização da infração, de forma que a ANPD pode obrigar a empresa a vir a público e informar sobre o incidente, caso não tenha o feito espontaneamente ou de forma eficiente.
4) Informar Parceiros e Prestadores de Serviços Envolvidos Diretamente
De acordo com o tipo de atividade de tratamento de dados que a sua startup executa, poderão existir outras empresas ou pessoas envolvidas, como parceiros e prestadores de serviços.
Sendo assim, a depender do incidente, é importante que essas empresas sejam notificadas, para que possam reavaliar as suas operações, evitando vulnerabilidades e reincidência do problema.
Vale lembrar que a LGPD determina que a empresa que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigada a repará-lo.
Por essa razão, é importante que as empresas assinem contratos ou termos aditivos que contenham a obrigatoriedade de se informarem em caso de ações irregulares, para que a sua startup não corra o risco de ser envolvida em um tratamento inadequado por omissão de terceiros.
5) Realizar Investigações
Diante de um incidente de segurança é preciso que a startup esteja apta a identificar alguns fatores, como: o que de fato ocorreu, de quem é a autoria da ação ilícita e o período de tempo que os dados estiveram expostos, para que consiga atribuir responsabilidades aos infratores e desenvolver novas proteções.
Além disso, promover investigações internas e externas eficientes poderá ser considerada pela ANPD como uma forma de diminuir penalidades, já que os parâmetros para aplicação de sanções serão:
• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a boa-fé do infrator;
• a vantagem auferida ou pretendida pelo infrator;
• a condição econômica do infrator;
• a reincidência;
• o grau do dano;
• cooperação do infrator;
• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• a adoção de política de boas práticas e governança;
• a pronta adoção de medidas corretivas; e
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Com base nos itens acima, é possível notar que, ainda que alguns incidentes de segurança sejam imprevisíveis, as empresas já podem se preparar para uma resposta rápida, que busque diminuir ao máximo danos aos titulares.
É importante ressaltar que qualquer processo de adequação à Lei Geral de Proteção de Dados deve observar as particularidades do negócio para ser realmente eficiente. Em caso de maiores dúvidas, procure um especialista em privacidade e proteção de dados.
Por Natália Martins Nunes