Advogada orienta sobre o que deve ser feito em caso de vazamento de dados e como se preparar para lidar com a situação
Os incidentes de segurança com dados pessoais estão se tornando um momento que demanda muita atenção para as empresas, sendo que o desconhecimento sobre como agir quando essa situação ocorre pode levar à aplicação de multas. Eles incluem não apenas os famosos vazamentos de dados pessoais, mas também situações como o acesso não autorizado, alterações nos dados ou mesmo a perda dessas informações.
Além disso, apesar de ainda não ter aplicado nenhuma multa, a Autoridade Nacional de Proteção de Dados (ANPD) recentemente divulgou que a aplicação de multas poderá acontecer de forma retroativa, ou seja, casos poderão ser reavaliados no futuro e sujeitos a aplicação de multa.
É importante ressaltar que, desde agosto de 2021, ANPD e outros órgãos de fiscalização podem aplicar as sanções administrativas previstas na Lei Geral de Proteção de Dados, que variam desde uma simples advertência até a aplicação de multas que podem chegar a até R$ 50 milhões, além da proibição do tratamento de dados pessoais pela empresa.
A especialista em direito para startups do Lage & Oliveira Advogados, Lorena Lage, orienta que, caso ocorram incidentes de segurança que causem riscos e danos aos titulares dos dados pessoais, a empresa deve fazer a comunicação formal do ocorrido à ANPD. Entre eles, a advogada destaca questões com dados de vulneráveis, como crianças e idosos; envolvendo dados sensíveis com potencial de gerar danos morais ou materiais - como discriminação ou violação da reputação, e informações financeiras críticas, como senhas de cartões, valor de remuneração ou dados do imposto de renda, sempre devem ser reportadas.
Lorena ainda faz um alerta importante sobre uma questão ainda pouco observada pelas organizações até aqui. “Apesar da LGPD mencionar apenas ‘prazo razoável’, a ANPD recomenda que os incidentes devam ser comunicados em até 2 dias úteis, sendo o cumprimento desse prazo a demonstração de boa-fé e transparência. Essa comunicação deve ser feita por meio de peticionamento eletrônico via sistema SEI, do governo federal. Para sua utilização, é necessário um cadastro prévio, que pode demorar até 3 dias úteis para ser aprovado. Sendo assim, todas as empresas que atuam no tratamento de dados pessoais devem estar em dia com esse cadastro”, orienta.
Pode ser realizada a comunicação parcial inicial, para fins de transparência e boa-fé, tendo em vista que, após a comunicação inicial, a empresa tem até 30 dias para complementar as informações quanto ao ocorrido. A Autoridade Nacional de Proteção de Dados, ao analisar casos de incidentes de segurança com dados pessoais tem, por praxe, levar em conta a conduta da organização perante os preceitos da Lei Geral de Proteção de Dados.
“Por isso, é fundamental que a companhia demonstre seu esforço para se adequar à LGPD, incluindo medidas como o conhecimento do fluxo de dados, treinamentos internos, aplicação de medidas técnicas para assegurar a proteção dos dados pessoais, nomeação do Encarregado pelo Tratamento de Dados, quando cabível, e implementação de uma governança em proteção de dados pessoais. Tais ações podem levar a sanções mais brandas caso ocorram esses incidentes, caso o incidente seja objeto de penalidade”, reforça a advogada.
A notificação de um incidente à ANPD é um momento de suma importância para as organizações, que não deve ser negligenciado ou tratado com menos relevância. “As estratégias corretas na comunicação do fato serão preponderantes para as futuras etapas jurídicas e administrativas que a empresa terá que enfrentar”, ressalta.
As companhias que ainda não tiverem cadastro no sistema SEI do governo federal podem fazê-lo pelo link a seguir: http://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico
Sobre a Lage & Oliveira Advogados
Fundada pelos advogados Lorena Lage e Robert Oliveira, o escritório atua como preventivo jurídico, realizando uma imersão em todos os detalhes da empresa, para trabalhar de dentro para fora a estruturação de negócios inovadores.