Desde 2018 temos aprovada a nossa Lei Geral de Proteção de Dados Pessoais – LGPD – que, até o momento ainda não entrou em vigor. Desde então, convivemos com grande ansiedade na espera por sua vigência e possíveis desdobramentos, como as interpretações que advirão sobre as violações a lei, apesar de sequer termos ainda estruturada a Autoridade Nacional de Proteção de Dados Pessoais.

Apesar disso tudo, quando o tema é proteção de dados, há um importante viés que não pode ser ignorado de forma alguma, mesmo que a lei ainda não esteja em vigor. Referimo-nos às violações de dados pessoais, comumente chamadas de vazamentos de dados ou data breaches.

Sobre isso, é preciso deixar claro que a LGPD não é uma lei que trata do tema de forma exauriente, nem é uma lei que trata em detalhes de aspectos da segurança da informação. Mas a lei claramente responsabiliza o controlador e o operador que, em “razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais” (art. 42). Obrigado, ainda, os controladores (quem determina como é feito o tratamento dos dados pessoais) a comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48). Isso já é uma inovação que causará algum desconforto para as organizações, tendo-se em vista que, até o momento, o padrão comportamental de que teve incidentes envolvendo dados pessoais vinha sendo o de evitar se pronunciar em público sobre o assunto. Presumimos que isso se dê em razão do receio de que a notícia ruim pudesse causar maiores danos financeiros e reputacionais. 

Mas, a LGPD também obriga as organizações a adotarem medidas de segurança, técnicas e administrativas para proteger os dados pessoais de violações em geral (art. 46) e, ainda, que no juízo de gravidade do incidente será avaliada a comprovação de que as medidas foram efetivamente adotadas (§3º). Isso, somado ao fato de que a responsabilização somente não ocorrerá nos casos em que se demonstrar que não realizaram o tratamento dos dados pessoais que lhes é atribuído (art. 43, I), que embora tenha realizado o tratamento, não houve violação da lei (inciso II), ou que o dano é decorrente de culpa exclusiva do titular de dados ou de terceiro (inciso III). Ou seja, cabe ao controlador fazer as provas que lhe beneficiam. 

Mais do que isso, o art. 50 da LGPD trata das boas práticas e da governança, trazendo elementos de um programa de privacy compliance. E, como não poderia deixar de ser, tais elementos incluem o objetivo de estabelecer relação de confiança com o titular dos dados, com atuação transparente (art. 50, I, “e”) e que conte com planos de respostas a incidentes e remediação (art. 50, I, “g”).  

Tendo tudo isso em vista, fica claro que a LGPD obriga o controlador a tomar medidas relativas aos incidentes de violação de dados pessoais de forma proativa, não reativa, e, ainda, com transparência. Não há, portanto, a possibilidade de tratar do incidente de forma obscura, à margem do conhecimento dos titulares de dados e outros possíveis afetados. 

É fundamental, ainda, se ter em mente que os incidentes de violação de dados pessoais são descobertos, em média, 279 dias após sua ocorrência (Pesquisa do Instituto Ponemon para a IBM, com dados de 2019). Ou seja, quando o controlador toma conhecimento do incidente de violação de dados pessoais, a chance de vários outros já saberem é grande, já que os dados estão expostos por longo tempo antes que tenha sido tomada uma ação efetiva de remediação. A mesma pesquisa mostra que, no Brasil, o valor médio de um incidente com dados pessoais alcança o montante de cinco milhões de reais.  

Por todo o exposto, é fundamental que se compreenda que vivenciamos tempos em que os incidentes de violação de dados pessoais são, cada vez mais, incidentes que podem arruinar os negócios, ainda mais se forem tratados de forma obscura pelas organizações afetadas. A única forma de evitar o pior é possuir um programa efetivo de privacy compliance, integrando-o com medidas de segurança da informação e, acima de tudo, transparência. Só assim se poderá demonstrar a todos os envolvidos, afetados e interessados, o comprometimento da instituição com a proteção dos dados pessoais e, consequentemente, impedir que os danos patrimoniais e reputacionais sejam incalculáveis