Lei Geral de Proteção de Dados Pessoais– A importância da segurança de dados

Este artigo é o terceiro de um total de cinco textos sobre o mesmo tópico, abordando diferentes pontos da Lei Geral de Proteção de Dados Pessoais.

Neste artigo, será realizado o exame dos dispositivos da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018) referentes à segurança dos dados e às boas práticas de quem os armazena. Nos dois primeiros artigos desta série (veja-os aqui) foram tratados aspectos sobre a coleta, o manuseio, a exclusão e a portabilidade das informações dos usuários.

O tópico sobre a segurança dos dados armazenados é um do mais importantes da nova lei e está no centro das preocupações das normas sobre o tema. Conhecer e iniciar a adoção das exigências da LGPD sobre segurança da informação se mostra ainda mais imprescindível, especialmente no presente contexto, em que grandes e importantes sistemas, como o do Superior Tribunal de Justiça, foram vulnerados por terceiros.

O Capítulo VIII da LGPD é inteiramente dedicado às disposições sobre segurança dos dados. É imposto aos agentes de tratamento e controle a adoção de medidas técnicas e administrativas aptas a proteger os locais de armazenamento contra acessos não autorizados. Também devem se resguardar contra situações, acidentais, ou não, que tenham como consequência a perda, visualização, alteração ou compartilhamento ilícito de informações, especialmente as de caráter sensível, como informações sobre compras, dados financeiros e registros médicos, por exemplo. Apesar de não haver uma previsão das medidas ou de parâmetros mínimos de segurança, o regramento legal faculta à Autoridade Nacional de Dados – ANPD (entenda mais aqui), dispor acerca dos padrões de segurança que devem ser adotados por todos os seus agentes. Enquanto o órgão não edita regulamentos sobre o tema, as empresas têm aplicado referenciais de excelência adotados no mercado ou se inspirado em casos estrangeiros, como o GPDR, a lei de dados da União Europeia.

Em caso de ofensa ao sigilo e acesso aos dados armazenados, o responsável pelo tratamento deve comunicar à ANPD e ao titular daquelas informações. A notícia deve ser especifica, trazendo um relatório do ocorrido, uma análise de riscos e as medidas que foram tomadas para reverter ou mitigar o vazamento.

A depender da gravidade da afetação dos dados, após a comunicação, a AND poderá intervir no procedimento adotado pelo agente. O regramento permite, por exemplo, que seja determinada ampla divulgação midiática do vazamento dos dados ou a tomada de medidas adicionais para remediar ou prevenir novos ocorridos.

A LGPD, muito além de impor regras ao tratamento dos dados, preza pela segurança das informações. Nesse caminho, faculta e estimula que os agentes de tratamento estabeleçam programas de governança corporativa, compliance e boas práticas em suas operações. Em um cenário em que a legislação dita inúmeras regras e atribui responsabilidades aos agentes, faz-se imprescindível que esses sujeitos adotem medidas de prevenção, em lugar de remediar crises consumadas.

A presença de assessorias na área jurídica e de tecnologia, que possam auxiliar na criação de mecanismos e plataformas adequados a cada tipo de operação de tratamento de dados, garantindo o cumprimento às exigências legais de integridade e segurança, é essencial para evitar sanções e possibilitar o adequado funcionamento do negócio.

Igor Rangel Pires