De todas dúvidas que assolam as empresas em relação à LGPD (Lei Geral de Proteção de Dados), uma das mais prementes é o que fazer quando ocorre vazamento de dados.
Como controladoras dos dados, as empresas são responsáveis diretas pelos vazamentos de informações de pessoas físicas, ainda que não tenham colaborado para o incidente. A Lei impõe multa para as empresas que sofrerem vazamentos. Por isso, é importante que estejam preparadas para lidar com essas situações, independentemente de seu tamanho e ramo de atuação.
A primeira ação recomendada é identificar o ponto de saída das informações e estancar o vazamento. Temos casos conhecidos como da Uber, Netshoes e do Banco Inter[1] que foram condenadas ao pagamento de multas milionárias e, em alguns casos, tiveram que suspender suas operações até identificar a origem do vazamento.
O segundo passo é realizar uma análise interna e pormenorizada do vazamento, de forma a identificar as causas e mensurar a extensão do dano. Nesta etapa, também devem ser observadas as regras trazidas pela LGPD para as empresas que tiverem suas informações vazadas.
Um dos pontos mais polêmicos impostos pela Lei às empresas é de que todo vazamento de dados que possa gerar dano ao titular deve ser comunicado à Autoridade Nacional de Proteção de Dados (ANPD) em tempo razoável. Como a lei não dá critérios para definir o que caracteriza o dano nem o que é considerado prazo razoável, há fundado receio sobre a aplicação desses critérios pela ANPD. Além disso, em que pese a aplicação da LGPD incumbir à ANPD, o órgão carece de definições quanto à sua criação e administração.
No contexto em que a LGPD prevê multa de até 2% do faturamento da empresa que infringir as regras impostas pela LGPD. A multa pode chegar a cinquenta milhões. Considerando que a própria lei é vaga na conceituação dos termos que servirão de parâmetros para aplicação da multa e ainda não há definições sobre a criação da ANPD, é prudente que as empresas reforcem a gestão de dados internamente para que estejam preparadas e não fiquem à mercê do entendimento do Poder Judiciário sobre tais pontos, que pode levar um bom tempo até chegar a uma conclusão uníssona sobre as disposições genéricas da Lei.
A conduta mais segura é interpretar tais conceitos sob a luz da legislação europeia (GDPR), na qual a lei brasileira se baseou. Segundo a GDPR, prazo razoável seria 72 horas e o vazamento representará um dano quando violar a segurança do titular, de forma que ele, por exemplo, perca o controle sobre seus dados pessoais, tenha seus direitos limitados, sofra discriminação, etc.
É evidente que a LGPD trará inúmeros desafios interpretativos tanto para o empresariado quanto para as autoridades responsáveis pela sua aplicação. Não há solução ou passo-a-passo que garantam a conformidade das empresas, mas nem por isso devem adiar a implementação do programa de adequação.
[1] https://www.istoedinheiro.com.br/uber-pagara-us-148-milhoes-por-vazamento-de-dados/
https://olhardigital.com.br/noticia/vazamento-de-dados-da-netshoes-custa-r-500-mil-a-empresa/82367
Izabel Mello Santos
Advogada
Membro da Comissão Especial da Lei Geral de Proteção de Dados da FEDERASUL