No artigo de hoje, vamos te explicar quais são os principais elementos da comunicação de incidentes de dados aos titulares.
Não é segredo para ninguém que a privacidade é um dos temas mais discutidos nos últimos anos, especialmente após os vários episódios lamentáveis de uso indevido de dados pessoais por grandes players do mercado.
Portanto, a adoção de um programa de governança em privacidade é um importante passo para as Startups que fazem tratamento de dados pessoais.
Nós já mostramos neste artigo o que fazer em caso de incidentes de segurança.
Como mencionamos, uma das etapas mais importantes após a identificação de um incidente é a comunicação deste ao titular dos dados.
Essa é uma situação bastante delicada, já que você terá que comunicar ao seu cliente que, por algum motivo, os dados dele que estavam sob sua responsabilidade foram comprometidos de algum modo.
Nosso objetivo aqui é demonstrar, de forma simples e didática, os 6 itens essenciais de uma comunicação de incidentes ao titular de dados.
Quando comunicar o titular dos dados pessoais a respeito de um incidente?
Antes de explicarmos quais são os principais itens da comunicação e incidentes, é importante entender em quais hipóteses a comunicação é obrigatória.
Segundo o artigo 48 da Lei Geral de Proteção de Dados Pessoais - LGPD, você deverá comunicar ao titular a ocorrência de incidente de segurança sempre que este acarretar risco ou dano relevante aos titulares.
Enquanto a Autoridade Nacional de Proteção de Dados - ANPD não define critérios mais objetivos para saber se deve comunicar o incidente ou não, é importante analisar a probabilidade de risco ou dano relevante para os titulares.
A título de exemplo, podemos citar aqueles que causam maiores riscos ao titular:
a) quando o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
b) quando o incidente tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.
Além disso, outros fatores devem ser observados ao analisar um incidente de dados para definir se fará ou não a comunicação, como:
a) o volume de dados envolvido;
b) o quantitativo de indivíduos afetados;
c) a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e;
d) a facilidade de identificação dos titulares por terceiros não autorizados.
Caso tudo indique que o incidente preenche esses “requisitos”, a sua Startup deve fazer a comunicação do incidente ao titular.
É importante lembrar que a comunicação deve ser feita em prazo razoável.
Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível.
A própria Autoridade definiu, a título indicativo, o prazo de 2 dias úteis, contados da data do conhecimento do incidente, para que a comunicação seja realizada.
O que não pode faltar na comunicação de incidentes de dados ao titular
Finalmente, vamos falar sobre os 6 itens essenciais da comunicação de incidentes de dados da sua Startup, que são os seguintes:
a) A descrição da natureza dos dados pessoais afetados:
Quais dados foram afetados? Você pode citar expressamente os dados que foram afetados (ex.: número do CPF, número de telefone, data de nascimento etc.) e também se os dados afetados são considerados sensíveis ou não.
b) As informações sobre os titulares envolvidos:
É importante explicar o contexto do tratamento de dados e em qual circunstância o titular forneceu os dados pessoais afetados pelo incidente (ex.: se os dados foram coletados em uma fase preliminar a uma contratação, ou após o preenchimento de um formulário obrigatório, ou se foram fornecidos voluntariamente durante o período de tratamento etc.).
Também é interessante explicar se os titulares envolvidos pertencem a algum grupo específico de clientes ou se todos foram afetados indistintamente.
c) A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial:
O que foi feito para estancar o incidente? Incidentes podem acontecer com qualquer empresa que faça tratamento de dados pessoais, mas o que é feito após o incidente é que define o nível de comprometimento com a privacidade dos titulares.
Explicar quais medidas estão sendo adotadas para mitigar os danos causados pelo incidente, o alcance e até a prevenção contra novos incidentes é fundamental.
Uma forma de fazer isso é respondendo às seguintes perguntas:
i. Quais medidas de segurança, técnicas e administrativas, foram tomadas para prevenir a ocorrência do incidente de segurança?
ii. Quais medidas de segurança, técnicas e administrativas, foram tomadas após a ciência do incidente de segurança?
iii.Quais medidas de segurança, técnicas e administrativas, foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo do incidente de segurança aos titulares dos dados?
iv. O agente de tratamento fez o relatório de impacto à proteção de dados pessoais?
d) Identificação dos riscos relacionados ao incidente:
Sabe-se que há enormes riscos quando há um incidente relacionado a dados pessoais.
Um dos riscos que merece bastante atenção está relacionado às práticas de crimes cibernéticos que podem ser desencadeados após o incidente, especialmente quando envolve “vazamento” de dados.
Dependendo da informação vazada, criminosos podem autenticar sistemas bancários, por exemplo, gerando graves prejuízos aos titulares.
e) Os motivos da demora, no caso de a comunicação não ter sido imediata:
Caso não seja possível efetuar a comunicação dentro do prazo sugerido pela própria Autoridade Nacional, é importante indicar o motivo da demora (ex.: estavam avaliando os riscos gerados do incidente, as equipes etc.
f) As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente:
É importante demonstrar comprometimento com a privacidade e com os direitos do titular dos dados pessoais.
Demonstre que sua empresa está buscando melhorar continuamente as medidas de segurança e garantir a preservação dos dados de seus atuais e futuros clientes.
Esses são os 6 elementos essenciais para uma boa e efetiva comunicação de incidentes de dados pessoais para os titulares.
Dica bônus: demonstre comprometimento com a privacidade dos seus clientes
Para você que chegou até aqui, temos uma dica bônus que pode ser fundamental em uma hipótese de incidentes de dados pessoais.
A cultura de governança de dados envolve uma mudança de comportamento e um comprometimento real com a privacidade das pessoas que confiam seus dados à sua empresa.
Por isso, sempre que for possível, além de fazer a comunicação de incidentes de forma adequada e com a sensibilidade necessária, busque viabilizar meios para que o titular se proteja de problemas que possam ser acarretados pelo incidente.
Seguindo as boas práticas globais, algumas empresas disponibilizam para todos os titulares envolvidos acesso gratuito ao sistema de monitoramento de dados (como o Serasa Premium, por exemplo, que acompanha o uso indevido de informações).
Assim, os titulares afetados podem acompanhar, durante um período de tempo específico, se seus dados estão sendo utilizados de forma indevida.
Essa é apenas uma das várias medidas que podem ser tomadas após um incidente de dados pessoais.
Além disso, é muito importante viabilizar meios de contato facilitados com o Encarregado de Dados da sua empresa, de modo que o titular possa se informar facilmente ou fazer solicitações, além de contar sempre com o apoio de profissionais especializados.
Atitudes simples como essas fazem toda a diferença.
Compartilhe este artigo para que ele chegue a mais pessoas. Nossa equipe está à disposição para esclarecer suas dúvidas.
Por Mariana Mena Barreto