Vazamento de dados e LGPD: Estudo de Caso

1.1 Lei Geral de Proteção de Dados (LGPD)

Após longo debate no Congresso Nacional, em 14 de agosto de 2018, foi

sancionada a Lei Geral de Proteção de Dados ou LGPD (Lei nº 13.709/2018), que
colocou o Brasil na lista de mais de 100 países que possuem legislação destinada
a proteger a privacidade e uso de dados. Entre os fatores que levaram à sua criação
e aprovação foi o General Data Protection Regulation (GDPR), regulamento
europeu sobre proteção de dados.
A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou
por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Assim, diante da publicação no Diário Oficial da União, em 18 de setembro
de 2020, da Lei 14.058/2020, oriunda do Projeto de Lei de Conversão (PLV)
34/2020, a LGPD finalmente entrou em vigor no ordenamento jurídico brasileiro,
produzindo seus efeitos.
Antes de entrar em vigor, muito debates aconteceram em torno da LGPD,
especialmente, após o Senado Federal ter deliberado pela derrubada do artigo 4º
da Medida Provisória 959/20, que então determinou a vacatio legis (vacância da
lei) para o dia 31 de maio de 2021. Vale ressaltar, originalmente, a LGPD entraria
em vigor no dia 14 de agosto de 2020, mas a MP 959/2020, em seu artigo 4ª,
aumentava o prazo para maio de 2021. Tal dispositivo foi declarado “não escrito”
pelo Senado Federal, por já ter sido discutido anteriormente – e rejeitado – pelo
Poder Legislativo em outro projeto de lei.
No entanto, para a aplicação das sanções às empresas que desrespeitarem
a LGPD, continuou valendo a data prevista no seu texto original, a Lei 13.709/2018,
ou seja, 1º de agosto de 2021. As sanções vão desde uma advertência até a
aplicação de multa. Logo, importante que as pessoas, naturais e jurídicas,
procurem seguir os princípios da lei e atender aos direitos dos titulares dos seus
dados. Ademais, sabe-se que as empresas que não estiverem em conformidade
com a LGPD, estarão sujeitas a sério risco reputacional, o que pode ser ainda mais
prejudicial do que as próprias sanções.
Merece atenção o seguinte ponto, apesar da LGPD ter sido publicada em
2018, as novas regras da Lei n. 13.709/18, com os ajustes da Lei 14.058/2020,
ainda geram dúvidas para empresas e pessoas físicas em geral. Há pontos da
LGPD que precisarão ser regulamentados pela ANPD (Autoridade Nacional de
Proteção de Dados).
Neste sentido, a proteção de dados ganha mais sentido no âmbito da
economia digital, que é toda a movimentação das empresas e do fluxo de dinheiro
que as pessoas fazem por meio da tecnologia. Logo, a economia digital envolve as
aplicações conhecidas como Rappi, Ifood, Netflix, Uber, entre outras empresas que
estão inseridas no nosso cotidiano. Por traz desses aplicativos (empresas) há
fluxos monetários e financeiros. Assim, estas empresas geram lucros por meio do
tratamento dos dados pessoais dos seus usuários. A principal meta da LGPD é
garantir a privacidade das pessoas e permitir um maior controle dos dados.
Cria regras claras sobre processos de coleta, armazenamento e
compartilhamento destas informações, ajuda a promover o desenvolvimento
tecnológico da sociedade e a própria defesa do consumidor.

2.2 Vazamento de dados

Sabe-se que as empresas estão passando por ações de adequação LGPD,

buscando manutenção das garantias de proteção, privacidade e segurança, tais
ações são grandes diferenciais no mundo tecnológico. Atualmente, são mais
comuns e recorrentes episódios de vazamentos de dados e de ataques a sistemas
de segurança das empresas. Consequentemente, estas situações podem trazer
prejuízos financeiros imensuráveis às empresas, especialmente, expondo todas as
informações pessoais dos seus usuários. Logo, é inexorável que as empresas, de
pequeno ou grande porte, estejam tecnicamente preparadas para gerir situações
de violação de segurança, aplicando procedimentos detalhados de resposta aos
incidentes.
De acordo com o Prof. Marcelo Crespo (2020) a violação de dados pessoais
é um tema inerente quando o assunto é proteção de dados, que não pode ser
ignorado de forma alguma, ainda mais com a vigência da Lei Geral de Proteção de
Dados (LGPD). Assim, violações de dados pessoais, comumente chamadas de
vazamentos de dados ou data breaches precisam estar no radar operacional das
empresas.
Aqui, nota-se a importância do Plano de Resposta a Incidentes de Violação
de Dados, que deve ser criado e aprovado internamente pelas empresas, a fim de
evitar prejuízos e danos futuros que podem abalar a estrutura da empresa, bem
como, atingir a sua imagem no mercado. Tal Plano deve ser elaborado por meio de
um documento escrito, com alto detalhamento quanto aos incidentes que possam
ocorrer, ou seja, devem abordar minuciosamente considerações sobre a violação
de segurança e de dados, apontar com precisão e objetividade quais medidas
devem ser adotadas, caso aconteçam aquelas situações.
Segundo o Prof. Marcelo Crespo (2020), a LGPD não é uma legislação que
trata desta temática de forma exauriente, nem é uma lei que trata em detalhes de
aspectos da segurança da informação. Mas, claramente, a lei trata de
responsabilizar o controlador e o operador que, em “razão do exercício de atividade
de tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados pessoais”,
conforme a previsão legal do art. 42 da LGPD. A importância da LGPD, que no seu
texto, prevê objetivamente que em situações de incidente de vazamento de dados,
deverá o controlador comunicar os titulares dos dados vazados, inclusive deverá
reportar a Autoridade Nacional de Proteção de Dados (ANPD). Ressalta-se que a
norma não especificou este prazo, mas na Lei Europeia de Proteção de Dados, o
prazo assinalado pelo legislador é o de 72 horas para esta comunicação aconteça.
O legislador ao confeccionar o artigo 48 da LGPD se preocupou em elencar
ações que devem ser imediatamente realizadas pelas empresas caso houver uma
situação de vazamento de dados dos seus usuários. O disposto determina
impositivamente que o Controlador dos Dados deva exercer a sua principal função,
ou seja, a de realizar a comunicação à Autoridade Nacional (ANPD), como também
aos titulares dos dados, como já dito, a comunicação deve ser feita imediatamente,
afinal, sabe-se que em casos de vazamento de dados há um grande risco aos
direitos individuais.
O Prof. Marcelo Crespo (2020) sobre o artigo 48 da LGPD aduz: “[...] é uma
inovação que causará algum desconforto para as organizações, tendo-se em vista
que, até o momento, o padrão comportamental de que teve incidentes envolvendo
dados pessoais vinha sendo o de evitar se pronunciar em público sobre o assunto.
Presumimos que isso se dê em razão do receio de que a notícia ruim pudesse
causar maiores danos financeiros e reputacionais.”
Logo, as empresas não podem negligenciar em seus Planos de Resposta
aos Incidentes de Violação de Dados o dever de comunicação, esta deverá ser
rápida e eficaz, espera-se que este documento trate com bastante precisão a
importância de descrever: “o alcance dos dados, sua natureza, as medidas técnicas
imediatamente adotadas para mitigar e proteger os dados adotados no ambiente
empresarial, os riscos que o incidente pode gerar, razões para eventuais atrasos
nas comunicações e, não menos importante, as medidas imediatamente adotadas
pela empresa para a contenção de maiores prejuízos aos direitos individuais e
coletivos.”
Deve-se reportar ao que está exposto no artigo 46 da LGPD, no qual está o
entendimento do que vem a ser o Incidente de Segurança de Dados Pessoais.
Assim, pode-se compreender que um incidente seja quaisquer casos de acessos
não autorizados as informações das empresas, logo, podem ser consideradas
como situações acidentais ou ilícitas, que acabam resultando na destruição, perda,
alteração, comunicação dessas, ou, ainda, qualquer forma de tratamento desses
mesmos dados de forma inadequada ou ilícita.
De acordo com o entendimento do Prof. Marcelo Crespo (2020), a LGPD
também obriga as organizações a adotarem medidas de segurança, técnicas e
administrativas para proteger os dados pessoais de violações em geral, conforme
a previsão do art. 46, posto acima. Ainda menciona: [...] no juízo de gravidade do
incidente será avaliada a comprovação de que as medidas foram efetivamente
adotadas (§3º). Isso, somado ao fato de que a responsabilização somente não
ocorrerá nos casos em que se demonstrar que não realizaram o tratamento dos
dados pessoais que lhes é atribuído (art. 43, I), que embora tenha realizado o
tratamento, não houve violação da lei (inciso II), ou que o dano é decorrente de
culpa exclusiva do titular de dados ou de terceiro (inciso III). Ou seja, cabe ao
controlador fazer as provas que lhe beneficiam (CRESPO, 2020).
Por fim, existem, ao menos, 03 pilares que orientam a segurança da
informação: confidencialidade, a informação só deve ser acessada por quem de
direito; disponibilidade: as informações devem sempre estar disponíveis para
acesso; e integridade, evitar que os dados sejam apagados ou alterados sem a
devida autorização do proprietário.
Logo, um Plano de Resposta de Incidente de Violação de Dados deve,
objetivamente, garantir a segurança dos dados dos usuários, pautando-se
naqueles pilares (confidencialidade, disponibilidade e integridade). A título de
esclarecimento, a segurança da Informação é a “proteção da informação de vários
tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio”.
Logo, conclui-se que as empresas que já tenham elaborado um Plano de
Resposta a Incidentes de Violação de Dados, também conhecido como Plano de
Crise, pronto e aprovado, poderão de maneira rápida e eficaz, contornarem o
incidente ocorrido, ou seja, se caso houver uma ocorrência de vazamentos de
dados, a resposta já prevista no Plano fará com que os envolvidos, funcionários da
empresa, estejam cientes dos seus papéis de atuação, os quais ao serem
desempenhados minimizarão os danos a companhia.
No mais, o Prof. Marcelo Crespo (2020) afirma ser fundamental que se
compreenda que vivenciamos tempos em que os incidentes de violação de dados
pessoais são, cada vez mais, incidentes que podem arruinar os negócios, ainda
mais se forem tratados de forma obscura pelas organizações afetadas. A única
forma de evitar o pior é possuir um programa efetivo de privacy compliance,
integrando-o com medidas de segurança da informação e, acima de tudo,
transparência. Só assim se poderá demonstrar a todos os envolvidos, afetados e
interessados, o comprometimento da instituição com a proteção dos dados
pessoais e, consequentemente, impedir que os danos patrimoniais e reputacionais
sejam incalculáveis

2. Legislações

• Constituição Federal (artigo 5º, X);

• Código Penal, Lei nº 2.848/1940 (arts. 154-A e 313-B);
• Lei da Política Nacional de Informática, Lei nº 7.232/1984 (art. 2º, inciso VIII);
• Lei nº 12.965/2014 - Marco Civil da Internet;
• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados;

3. Referências
CAMARGO, Coriolano; CRESPO, Marcelo. Segurança da Informação,
Escritórios de Advocacia e Compliance: por que a atenção precisa ser
redobrada? In: Migalhas. Publicado em: 04.08.2017. Disponível em: <
https://www.migalhas.com.br/DireitoDigital/105,MI263165,21048-
Seguranca+da+informacao+escritorios+de+advocacia+e+compliance+por+q
ue>.
_____. Inteligência Artificial, Tecnologia e Direito: o debate não pode
esperar! Publicado em: 30.11.2016. Disponível em:
<http://www.migalhas.com.br/DireitoDigital/105,MI249734,41046-
Inteligencia+artificial+tecnologia+e+o+Direito+o+debate+nao+pode>.

CAMARGO CORREIA, Pablo J. de. A omissão de incidentes de Segurança

da Informação decorrente do vazamento de informações sob a ótica da
Governança Corporativa, Governança de TI e Compliance. In: Lex
Machinae. Publicado em: 16.10.2018. Disponível em:
<https://www.lexmachinae.com/2018/10/16/omissao-incidentes-seguranca-
da-informacao-vazamento-governanca-corporativa-de-ti-compliance/>.

_____. Displicente ou inocente? O fator humano na Segurança da

Informação. In: CryptoID. Publicado em: 12.07.2017. Disponível em:
<https://cryptoid.com.br/banco-de-noticias/displicente-ou-inocente-o-fator-
humano-na-seguranca-da-informacao/>.

_____. Compartilhamento de acessos: Uma ameaça para Segurança da

Informação. In: TI Especialistas. Publicado em: 08.03.2018. Disponível em:
<https://www.tiespecialistas.com.br/compartilhamentos-de-acessos-uma-
ameaca-para-seguranca-da-informacao/>.

CRESPO, Marcelo Xavier. Crimes Digitais. São Paulo, Saraiva, 2011.

_____. Gestão de Incidentes de Violação de Dados Pessoais. In: Temas

Atuais de Proteção de Dados, Felipe Palhares (coord). Thomson Reuters,
2020.

_____. Sobre o acesso a dispositivos digitais sem autorização judicial

em situações de flagrante delito. In: Patricia Peck Pinheiro. (Org.). Direito
Digital 3.0. 1ed., 2018, v. 1, p. 88-105.

_____. Inteligência artificial e crimes: estamos caminhando para uma

Skynet? In: Canal Ciências Criminais. Publicado em: 30 mar. 2016. Disponível
em: <http://canalcienciascriminais.com.br/artigo/inteligencia-artificial-e-
crimes-estamos-caminhando-para-uma-skynet/>

_____. O que Star Wars pode nos ensinar sobre Segurança da

Informação? In: LinkedIn. Publicado em: 06.06.2018. Disponível em: <
https://www.linkedin.com/pulse/o-que-star-wars-pode-nos-ensinar-sobre-
seguran%C3%A7a-da-marcelo/>.
_____. Violação de dados pessoais pode custar muito caro. Disponível
em: https://partnersales.com.br/artigo/violacoes-de-dados-pessoais-pode-
custar-muito-caro.

PINHEIRO, Patrícia Peck. Direito Digital. 4 ed. São Paulo: Saraiva, 2010.

TAMER, Maurício. Plano de resposta a incidentes de segurança de dados

pessoais. Disponível em: https://noomis.febraban.org.br/especialista/renato-
opice-blum/plano-de-resposta-a-incidentes-de-seguranca-de-dados-
pessoais-uma-prevencao-importante.