Como abordamos em outros textos, a Lei Geral de Proteção de Dados – LGPD, traz duras medidas educativas e coercitivas para pessoas e empresas que lidam com a recepção, guarda e tratamento de dados pessoais. Ela criou uma série de regras que visam a proteger o indivíduo, titular dos dados, frente ao uso de suas informações pessoais no complexo contexto do mundo da informação.
Ao tratar com severidade aqueles não fazem o uso responsável dos dados pessoais, a lei brasileira, assim como a legislação europeia (GDPR), determina gravosas penalidades a empresas que não obedecerem aos comandos legais de adequação – e ainda aplica pesadas sanções àquelas que inadvertidamente expuserem dados de terceiros mediante algum vazamento técnico de informações. Essas sanções podem comprometer a própria subsistência e a continuidade da atividade empresarial, seja em virtude do elevado “quantum” penal, seja em razão da própria suspensão da atividade empresarial em casos de maior gravidade, como no vazamento massivo e repetitivo de dados.
O que determina a LGPD no caso de vazamento de dados
É o artigo 48 da lei 13.709/18 que elenca as ações que devem ser observadas de imediato pela empresa em caso de vazamento de dados. Ele determina, de forma impositiva, que o controlador dos dados deve comunicar à autoridade nacional e aos titulares dos dados, imediatamente, o evento que possa colocar em risco direitos individuais.
A comunicação deve ser rápida e eficaz, descrevendo o alcance dos dados, sua natureza, as medidas técnicas imediatamente adotadas para mitigar e proteger os dados adotados no ambiente empresarial, os riscos que o incidente pode gerar, razões para eventuais atrasos nas comunicações e, não menos importante, as medidas imediatamente adotadas pela empresa para a contenção de maiores prejuízos aos direitos individuais e coletivos.
Como minha empresa deve se preparar?
As empresas devem trabalhar para simplificar todo o processo emergencial de contenção de risco no caso de incidentes de vazamento, ainda que parcial, de dados. Aqui, as palavras de ordem são PREPARO PRÉVIO. A lei beneficia a empresa que não somente atende com velocidade aos comandos que descrevemos acima, mas que consegue comprovar que adotou todas as medidas possíveis dentro de sua necessidade, capacidade técnica, tamanho e grau de susceptibilidade a ataques, para proteger os dados dos titulares que manipula.
Na prática, deverá existir em sua empresa um comitê especializado na gestão de crise em caso de vazamento de dados. Tal comitê deve conhecer todos os requisitos legais que devem ser atendidos com celeridade, e da mesma forma, deve estar tecnicamente capacitado para demonstrar que a empresa sempre se preocupou com a defesa e proteção dos dados que manipula.
O time deve estar juridicamente bem embasado, demonstrando a existência de uma Política Interna de Segurança de Dados e, ao mesmo tempo, precisa conhecer e saber explicar o uso das tecnologias e processos produtivos que revelam o cuidado adequado quando o assunto é a necessidade de proteção para aquele grau de exposição ao risco de vazamento.
Adequação Risco x Investimento
O que está bem claro quando o assunto é a LGPD, é que o legislador procurou demonstrar que é exigido das empresas e entidades que manipulam dados de terceiros a comprovação de sua seriedade na adoção de boas práticas de segurança ao lidar com os direitos de terceiros. O que visa a lei é impor que as empresas realizem um efetivo equilíbrio entre investimento em segurança – através da adoção de acertadas tecnologias existentes – e definição de política transparente de Segurança da Informação. Precisamos compreender que investir em tecnologia e processos que efetivamente protejam a empresa de incidentes de segurança é uma necessidade. É preciso adequar o orçamento ao risco de exposição ao qual a empresa se sujeita, lembrando que será ônus legal da empresa comprovar perante a autoridade nacional ou ao poder judiciário que se preparou para o caso de incidentes de vazamento de dados da melhor maneira possível.
Por fim, salientamos que empresas com um time tecnicamente completo, como o da Any Consulting, estão capacitadas para auxiliar sua empresa no atendimento da lei e na definição de toda a política prévia de segurança de dados, unindo o conhecimento tecnológico aos melhores posicionamentos legais. O quanto antes você se preparar, melhor será seu resultado em uma necessidade futura de comprovação de boa-fé. Entre em contato com nosso time.