10 perguntas e respostas sobre vazamento de dados e LGPD
Desde que a LGPD (Lei Geral de Proteção de Dados) entrou em vigor, casos de vazamento de dados têm ganhado cada vez mais destaque na mídia. Não apenas por conta da frequência com que ocorrem, mas também porque as empresas responsáveis pelos dados vazados agora respondem à nova lei.
Ainda há dúvida a respeito de como vai ser a atuação da ANPD (Autoridade Nacional de Proteção de Dados), a autoridade responsável pela fiscalização do cumprimento da LGPD, em casos de vazamentos. Entrevistas recentes dos diretores indicam que a autoridade apostará em medidas mais educativas do que punitivas.
Embora muito ainda esteja por ser definido, nós preparamos esse post para esclarecer alguns pontos importantes a respeito do assunto.
Confira dez perguntas comuns sobre vazamento de dados e LGPD:
Confira neste artigo!
Contrate uma consultoria de adequação à LGPD
A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.
1. O que é um vazamento de dados?
Um vazamento de dados é definido como um incidente de segurança em que dados pessoais e/ou informações privadas e sigilosas são expostos publicamente ou a terceiros sem autorização.
Dessa forma, as informações podem ser acessadas, visualizadas, copiadas, vendidas, compradas e usadas para fins diversos. Por exemplo, para golpes financeiros, extorsões e tentativas de prejudicar os negócios e a imagem de uma empresa.
Portanto, um vazamento de dados coloca pessoas e empresas em risco.
2. Qual é a diferença entre vazamento de dados e incidente de segurança?
Incidente de segurança é um conceito amplo que abarca todo tipo de acontecimento que comprometa a segurança de dados e informações em geral.
Considerando as definições da LGPD, um incidente de segurança é um acontecimento indesejado ou inesperado, hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Já um vazamento de dados é um tipo de incidente de segurança que se refere especificamente à exposição não autorizada de dados pessoais e informações privadas.
O vazamento de dados é um dos tipos de incidente de segurança que traz mais risco tanto aos titulares quanto à empresa controladora dos dados.
3. Que tipos de dados costumam ser explorados em vazamentos?
Cerca de 80% dos vazamentos de dados em empresas envolvem a perda ou roubo de dados pessoais de clientes. É o que aponta um relatório da IBM sobre vazamento de dados, feito com 524 empresas em 17 países, incluindo o Brasil.
De acordo com o relatório, outros tipos de dados comprometidos em vazamentos são propriedade intelectual (32%), dados anonimizados de usuários (24%), dados corporativos em geral (23%) e dados pessoais de colaboradores (21%).
Vale lembrar que apenas dados pessoais estão sob o escopo da LGPD –ou seja, dados que identifiquem uma pessoa ou que, quando associados a outros dados, permitam identificar uma pessoa.
4. Quem responde legalmente caso ocorra um vazamento de dados em uma empresa?
A LGPD determina claramente que quem responde por uma violação de segurança, como um vazamento de dados, são os agentes de tratamento – o controlador e o operador. Ou seja, as empresas e pessoas envolvidas no tratamento de dados pessoais.
Segundo o artigo 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Isso inclui protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Caso essas medidas não sejam adotadas e isso leve à uma violação da segurança dos dados, o controlador ou o operador terão que responder pelos danos causados.
Veja só:
“Art. 44 (…)
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.”
Casos em que os agentes de tratamento não podem ser responsabilizados
Os agentes de tratamento só não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
5. O que a LGPD determina em caso de vazamento de dados?
Em caso de qualquer incidente de segurança, o controlador deve primeiro avaliar se o incidente pode acarretar risco ou dano relevante aos titulares. No caso de um vazamento de dados, a resposta vai ser quase sempre “sim”.
Afinal, por definição, um vazamento de dados pessoais significa que os dados estão expostos publicamente ou para terceiros, o que pode fazer com que eles sejam usados para prejudicar os titulares.
Se houver risco ou dano relevante ao titular, o controlador deve comunicar a ocorrência do incidente à ANPD e ao titular dos dados.
Essa comunicação deve ser feita em um prazo razoável, que ainda será regulamentado pela ANPD, e conter, no mínimo, os itens que vamos mencionar abaixo.
Informações que devem constar na comunicação de um incidente à ANPD
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata; e
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Em seguida, a ANPD vai avaliar a gravidade do incidente e poderá determinar a adoção de algumas providências, tais como:
- Ampla divulgação do fato em meios de comunicação;
- Medidas para reverter ou mitigar os efeitos do incidente.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
6. Quais são as sanções da LGPD em caso de vazamento de dados?
A LGPD não prevê sanções específicas para vazamento de dados, mas estabelece sanções para infrações à lei em geral. Como uma das exigências da lei é adotar medidas para garantir a segurança dos dados, um vazamento pode ser considerado uma infração.
Além disso, em seu artigo 44 a LGPD deixa claro que o tratamento de dados pessoais será irregular quando não fornecer a segurança que o titular dele pode esperar.
Portanto, um vazamento de dados pode levar à aplicação de sanções administrativas previstas na lei — lembrando que elas só poderão ser aplicadas a partir de agosto de 2021.
Confira quais são as sanções administrativas previstas na LGPD:
- Advertência, com prazo para corrigir as infrações;
- Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;
- Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
- Tornar pública a infração cometida;
- Bloqueio dos dados pessoais relacionados à infração;
- Eliminação dos dados pessoais relacionados à infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total das atividades relacionadas a tratamento de dados.
As sanções serão aplicadas somente mediante processo administrativo que possibilite a ampla defesa, o contraditório e o direito de recurso.
Além disso, na aplicação de sanções serão considerados parâmetros e critérios previstos em lei, tais como a cooperação do infrator, a pronta adoção de medidas corretivas e a implementação de mecanismos internos para o tratamento adequado dos dados.
7. Quais as consequências de um vazamento de dados para as empresas?
Um vazamento de dados pode acarretar diversas consequências danosas às empresas, tais como:
- Sanções administrativas, como multas;
- Perdas financeiras por conta de negócios cancelados, fuga de investidores e vazamento de informações sensíveis à empresa;
- Quebra de confiança na relação com o consumidor e com os titulares de dados em geral;
- Danos de reputação e imagem;
- Ações judiciais individuais e coletivas por parte dos titulares de dados e de entidades de defesa do consumidor.
Portanto, a melhor opção para as empresas é sempre agir de forma preventiva, adotando medidas para evitar qualquer tipo de incidente de segurança.
8. O consumidor pode processar uma empresa por vazamento de dados?
Caso o consumidor sofra algum dano como consequência do vazamento dos seus dados pessoais, ele pode sim acionar judicialmente a empresa responsável pelo tratamento para garantir uma reparação.
Veja só o que diz a LGPD:
“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”
Se o titular sofreu um dano moral ou material por conta de um vazamento de dados, o recomendado é que ele entre em contato com a empresa e busque uma reparação amigável.
Caso o contato seja infrutífero, o titular pode acionar a empresa judicialmente para garantir os seus direitos.
9. Quais são as principais causas de um vazamento de dados?
Segundo relatório da IBM, ataques maliciosos são a causa da maior parte dos casos de vazamento de dados.
O relatório levantou informações de 524 empresas em 17 países. De acordo com os dados levantados no Brasil, os ataques maliciosos foram responsáveis por 47% dos vazamentos no país. Outros 28% foram causados por erros de sistema e 25%, por erro humano.
Dentre os ataques maliciosos, estão ameaças como malwares comuns e ransomwares, focados em sequestrar dados e exigir o pagamento de resgate.
Já os principais vetores dessas ameaças (ou seja, os fatores que permitiram que elas fossem executadas) foram:
- Credenciais roubadas ou comprometidas;
- Falhas na configuração de infraestrutura em nuvem;
- Vulnerabilidades em softwares de terceiros;
- Phishing.
10. Como evitar um vazamento de dados?
O investimento em Segurança da Informação é a melhor maneira de evitar ser vítima de um vazamento de dados.
As principais causas de vazamento de dados podem ser mitigadas com medidas adequadas de Segurança da Informação, incluindo o treinamento de colaboradores.
Além de ser uma decisão inteligente para o negócio, investir em Segurança é também um requisito para estar em conformidade com a LGPD.
Confira as principais medidas para evitar vazamentos de dados:
- Investir em ferramentas de prevenção contra ameaças, como firewall, antivírus corporativo (antiransomware), e-mail gateway e SIEM (gerenciador de eventos de segurança);
- Manter sistemas e softwares sempre atualizados;
- Estabelecer políticas e ferramentas de autenticação e controle de acesso;
- Garantir a segurança do acesso físico ao ambiente de TI;
- Fazer análises de vulnerabilidade frequentemente;
- Dar especial atenção às configurações de segurança de ambientes em nuvem;
- Criar uma política de Segurança da Informação consistente para colaboradores e parceiros;
- Promover campanhas de conscientização e treinamento de colaboradores, ensinando-os a reconhecer as principais ameaças, como phishing;
- Estabelecer um processo interno para a comunicação e tratamento de incidentes de segurança, com especial atenção à avaliação quanto ao incidente envolver ou não dados pessoais.
Proteja sua empresa contra vazamentos de dados
A Get Privacy conta com uma equipe especializada em LGPD, privacidade e proteção de dados. Fale conosco e veja como podemos te ajudar!
CONFIRA
OUTROS POSTS