Um tema muito discutido atualmente sobre Direito Digital é o vazamento de dados pessoais. Os incidentes de segurança de dados pessoais estão se tornando cada vez mais frequentes em todo o mundo, afetando empresas de todos os tamanhos e setores. O vazamento ou roubo de informações confidenciais pode trazer consequências graves para as empresas, como perda de credibilidade, danos à imagem da marca e até mesmo multas e ações judiciais. Desta forma, é fundamental que as empresas estejam preparadas para lidar com esse tipo de incidente e sigam as melhores práticas para minimizar os danos.
O que é um incidente de privacidade?
Segundo a Lei Geral de Proteção de Dados – LGPD, o popularmente conhecido como “vazamento”, na verdade, se trata de um incidente de privacidade, ou seja, qualquer evento adverso relacionado à violação de dados pessoais, de forma ilícita ou acidental que tenha como resultado a perda, alteração, vazamento ou qualquer forma de tratamento que coloque em risco os direitos e as liberdades dos titulares dos dados pessoais.
Quais medidas preventivas devem ser tomadas a fim de evitar um incidente de privacidade?
Quando falamos de tratamento de dados pessoais, é importante investir em medidas internas que evitem possíveis vazamentos e na criação de um plano de respostas a incidentes.
Um bom plano de respostas deve apontar os procedimentos a serem realizados em caso de um incidente, bem como as ações que as áreas da empresa e os responsáveis devem tomar para solucionar a situação.
Além disso, é de extrema importância treinar a equipe empresarial a como prevenir vazamento de dados e aplicar os planos de ação em caso de incidentes. O tempo é crucial quando tratamos de incidentes de privacidade e, sem o devido treinamento, os danos podem ser potencializados pela demora na tomada das providências.
O que fazer após um incidente de privacidade?
No momento posterior ao vazamento, a Lei Geral de Proteção de Dados – LGPD¹ prevê alguns procedimentos a serem realizados, entre eles a análise interna do incidente, comunicação interna ao encarregado e controlador, comunicação à Autoridade Nacional de Proteção de Dados – ANPD e aos titulares dos dados pessoais caso possa causar riscos ou danos relevantes.
Em um momento pós-incidente, é de extrema importância documentar os fatos e ações tomadas, a fim de utilizar as lições aprendidas em um incidente futuro.
Outrossim, a documentação das ações tomadas pela empresa para resolução do incidente pode servir como prova em um eventual processo administrativo de penalidade, a fim de demonstrar a pronta adoção de medidas corretivas, fato que contribuirá para o afastamento de penalidades ou aplicação de sanções mais brandas à empresa, conforme determina a Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD³.
Desta forma, em caso de incidentes de segurança envolvendo dados pessoais, é importante seguir as regras estabelecidas pela LGPD e ANPD, como a identificação do incidente, a análise de risco, a comunicação aos titulares dos dados e à ANPD, a adoção de medidas corretivas e a documentação das etapas do processo. Tais medidas ajudam a garantir a proteção dos direitos dos titulares dos dados e a evitar prejuízos à empresa.
Ainda está com dúvidas de como criar os planos de resposta a incidentes ou não sabe como proceder em caso de incidentes? Procure uma assessoria jurídica especializada em Direito Digital.
¹ Lei Geral de Proteção de Dados – LGPD
² Comunicação de incidente de segurança – GOV.br
³ Regulamento de Dosimetria e Aplicação de Sanções Administrativas