Escolar Documentos
Profissional Documentos
Cultura Documentos
FACULDADE DE DIREITO
BELO HORIZONTE
2022
2
BELO HORIZONTE
2022
3
RESUMO
ABSTRACT
The evolution of big data economy revealed the need of regulation of the market, to protect
the personal data of the users. The begging of this discussion happened in Europe, that was
the first continent to create a legislation to protect personal data, leading the way to other
nations. In Brasil`s case, before the creation of a general law about data protection, other
specifics laws about other themes had some articles that include data protection, like the
Código de Defesa do Consumidor. This monograph analyses the data breach, presenting a
comparation between the brazilian law and the european. To comprehend the theme, are made
some considerations about the importance of data to the improve of technology. After that, it
is presented a brief history about the evolution of big data economy, that is the busyness
model of the biggest companies in the world. In addition, the concepts of information security
and data breach are explored. Finally, the brazilian law, Lei Geral de Proteção de Dados, and
the european, General Data Protection Regulation, are compared to show to expose the
similarities and differences about the data breach.
Palavras-chave: Data. Lei Geral de Proteção de Dados. Data Breach. General Data Protection
Regulation.
5
LISTA DE SIGLAS
SUMÁRIO
1. INTRODUÇÃO ................................................................................................................. 7
2. A IMPORTÂNCIA DOS DADOS ................................................................................... 8
3. A NECESSIDADE DA REGULAÇÃO DE PROTEÇÃO DE DADOS ..................... 12
4. HISTÓRICO DA CRIAÇÃO DO REGULAMENTO EUROPEU ............................ 16
5. HISTÓRICO DA PROTEÇÃO DE DADOS NO BRASIL ......................................... 21
6. SEGURANÇA DA INFORMAÇÃO ............................................................................. 25
7. CONCEITO DE INCIDENTE DE SEGURANÇA ...................................................... 31
8. DISPOSIÇÕES ACERCA DO INCIDENTE DE SEGURANÇA NA LGPD ........... 36
8.1 Artigo 46 da LGPD .................................................................................................. 36
8.2 Artigo 47 da LGPD .................................................................................................. 39
8.3 Artigo 48 da LGPD .................................................................................................. 42
8.4 Artigo 49 da LGPD .................................................................................................. 46
9. CONCLUSÃO ................................................................................................................. 47
REFERÊNCIAS ..................................................................................................................... 49
7
1. INTRODUÇÃO
1
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
2
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
8
3
ZWEIGERT, Konrad; KÖTZ, Hein. An Introduction to Comparative Law. New York: Oxford University
Press, 1998. p. 15.
4
ADAMS, Maurice; HEIRBAUT, Dirk (Ed.). The Method and Culture of Comparative Law: Essays in
Honour of Mark Van Hoecke. Oxford: Hart Publishing, 2014.
5
HUSA, Jaakko. Research Designs of Comparative Law: Methodology or Heuristics? The Journal of
Comparative Law, v. 9, 2015.
6
HUSA, Jaakko. Research Designs of Comparative Law: Methodology or Heuristics? The Journal of
Comparative Law, v. 9, 2015.
7
VALCKE, Catherine; GRELLETTE, Mathew. Three Functions of Function in Comparative Legal Studies.
In: ADAMS, Maurice; HEIRBAUT, Dirk (Ed.). The Method and Culture of Comparative Law: Essays in
Honour of Mark Van Hoecke. Oxford: Hart Publishing, 2014.
9
Os dados exercem papel primordial na história da sociedade, tendo em vista que são
eles que permitem as trocas de informações. Conforme preceitua Yuval Noah Harari8, foi a
evolução cognitiva que diferenciou os Humanos atuais dos seus antepassados, dado que,
biologicamente, não houve tempo hábil para a evolução do cérebro, ou seja, os Humanos
possuem o mesmo grau de inteligência há mais de 10.000 anos, sendo a capacidade de gravar
e passar informações entre as gerações um dos aspectos mais relevantes da evolução
humana.Conforme Barbieri, outra revolução importante, que tem grande relevância para o
cenário econômico atual, ocorreu em 1948, quando foi publicada uma monografia na Revista
Técnica dos Sistemas Bell, chamada “Uma teoria matemática da comunicação”, de autoria do
engenheiro Claude Shannon, na qual houve a criação do termo bit. Até hoje são os bits que
tornam possível a armazenagem de dados digitais, segundo expõe Carlos Barbieri:
Os dados não eram mais usados como algo estático e obsoleto, que a utilidade se
extinguia uma vez que fosse alcançado o objeto para o qual eles foram coletados e
armazenados, como quando um avião decola (ou no caso do Google, quando um
requerimento de pesquisa fosse realizado). Invés disso, os dados se tornaram matéria
prima para negócios, uma possibilidade de entrada em um mercado, usados para
criação de uma nova forma de valor econômico. Na verdade, com a estratégia
correta, os dados podem ser inteligentemente reutilizados para se tornarem uma
fonte de inovação e criação de novos serviços. Os dados podem revelar informações
preciosas àqueles que tem a humildade, a disposição e as ferramentas para ouvir.
(tradução livre)10.
8
HARARI, Yuval Noah. Sapiens: uma breve história da humanidade. Tradução de Janaína Marcoantonio. Porto
Alegre: L&PM, 2015, passim.
9
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de Janeiro: Alta Books,
2019.p.3.
10
Texto Original: “Data was no longer regarded as static or stale, whose usefulness was finished once the
purpose for wich it was collected was achieved, such as after the plane landed (or in Google´s case, once a
10
A possibilidade de utilizar dados para impulsionar negócios ou, até mesmo, estruturar
modelos de mercados baseados em dados, rapidamente foi absorvida pelo mercado, havendo
várias empresas que foram criadas ou modificaram seu modelo de negócios para explorar o
armazenamento, processamento, análise e utilização de dados. Diante da ausência de
legislação específica regulando a proteção de dados, não havia nenhum tipo de controle
desses mercados, nem sequer se cogitava os impactos que essas práticas teriam em relação aos
titulares desses dados. Contudo, a economia baseada em dados apresentou um crescimento
exponencial, propulsionado pelas grandes empresas de tecnologia como Facebook, Google,
Instagram e Amazon. Além das empresas especializadas na exploração de dados, todo o
mercado foi impactado por essa revolução, tendo em vista que, com os avanços gerados pelos
estudos das ciências mercadológicas e as evoluções das técnicas de publicidade de produtos,
conhecidas como marketing, os dados se tornaram um importante ativo que fomenta a
economia das informações11.
Neste contexto, a economia de dados necessitava de regulação, como forma de
proteção ao titular dos dados, parte mais vulnerável. Frente a esse diagnóstico, houve o início
de um movimento global na área do direito que objetiva o estudo do tratamento e proteção
dos dados pessoais. Dentro dos diversos estudos e legislações criadas com o fito de regular o
tema, um dos marcos normativos mundiais foi o Regulamento Geral sobre a Proteção de
Dados (GDPR), editado pelo Parlamento Europeu e pelo Conselho da União Europeia no ano
de 2016, sendo aplicável a todos os indivíduos na União Europeia e Espaço Econômico
Europeu, desde 2018. Assevera Danilo Doneda que o Regulamento Geral sobre a Proteção de
Dados Europeu se tornou um marco legal mundial, não só por ser pioneiro em questões de
legislação que regulam o tratamento e proteção de dados pessoais, como, também, por ter sido
inspiração para a edição das demais legislações mundiais, como a “California Consumer
Privacy Act of 2018” (CCPA), editada pelo estado da Califórnia, nos Estados Unidos da
América12.
search query had been processed). Rather, data became a raw material os business, a vital economic input, used
to create a new form os economic value. In fact, with the right mindset, data can be cleverly reused to become a
fountain of innovation and new services. The data can reveal secrets to those with the humility, the willingness,
and the tool to listen” MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That
Will Transform How We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013
11
MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How
We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013. p.10.
12
Cf. DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção
de Dados. São Paulo: Thomson Reuters Brasil, 2020.
11
13
Professor de Direito da Stanford Law School.
14
Professor de Direito da Harvard Law School.
15
Professor de Direito da Harvard Law School.
16
Professor de Direito da Columbia Law School.
17
Professor de Direito da Harvard Law School.
18
Professor de Direito da George Washington University Law School.
12
Pelo exposto, será avaliada a eficiência da legislação brasileira, no que tange aos
incidentes de segurança, estudando, não só as normas nacionais, como, também,
aprofundando-se na origem do instituto, principalmente na legislação europeia que, como
expresso alhures, serviu de inspiração para a edição da Lei Geral de Proteção de Dados
Pessoais.
19
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
13
É verdade que a coleta de dados pessoais não é algo propriamente novo, sendo a
história da humanidade marcada por inúmeras experiências e avanços na tarefa de
obter, coletar, registrar e acessar dados. Entretanto, o Big Data e o Big Analytics
possibilitaram que tais atividades ocorressem de maneira muito mais eficiente, com
mais veracidade, velocidade, variedade e volume. Mais do que isso, o Big Data e o
Big Analytics permitiram que, a partir da coleta e do registro de dados, fossem a eles
atribuídas utilizações e aplicações que não seriam sequer imagináveis há poucos
anos atrás e que, na ausência de uma regulação adequada, passaram a ser realizadas
sem limites e com resultados que podem se projetar para sempre21.
20
MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How
We Live, Work, and Think. New York: Houghton Mifflin Harcourt, 2013
21
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados
Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p.10.
22
JOSSEN, Sam. The world’s most valuable resource is no longer oil, but data. The Economist. Disponível em:
www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acesso
em: 20 jan. 2022.
23
SRNICEK, Nick. Platform capitalism. Cambridge: Polity Press, 2018. p. 39.
24
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de Janeiro: Alta
Books, 2019.p.107.
14
Esse modelo de negócios se revelou altamente lucrativo, iniciando uma disputa entre
as Big Techs para angariar novos usuários, o que possibilitaria que a empresa tivesse acesso a
25
Texto original: “Strikingly, Google’s method does not involve distributing mouth swabs or contacting
physicians’ offices. Instead, it is built on “big data”—the ability of society to harness information in novel ways
to produce useful insights or goods and services of significant value. With it, by the time the next pandemic
comes around, the world will have a better tool at its disposal to predict and thus prevent its spread” MAYER-
SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How We Live.
Work, and Think. New York: Houghton Mifflin Harcourt, 2013. p.7.
15
novos dados e, consequentemente, aumentasse seus lucros. Inclusive, o valor dos dados é uma
das grandes razões para a existência de inúmeros serviços gratuitos na rede mundial de
computadores26.
Apesar do imensurável valor econômico dos dados, a economia baseada em Big Data
gera uma preocupação em relação à proteção do titular dos dados em suas relações jurídicos-
econômicas com as grandes empresas de tecnologia, dado que, por se tratar de um mercado
inovador, propulsionado pelos avanços tecnológicos, a legislação tende a se tornar obsoleta.
O que ocorreu, na prática, foi um desenfreado uso dos dados coletados para as mais
diversas finalidades, como: avaliações de empresas de recursos humanos no momento de
cogitar um candidato para uma certa vaga, instituições financeiras para a realização de uma
análise de crédito, publicidade e definição do preço de um produto ou serviço para certo
usuário.
Esse tratamento dos dados sem sequer haver ciência do titular e, por vezes, em
prejuízo dele, escancarou a necessidade da existência de uma legislação atualizada, que
proteja os direitos dos titulares, limitando o armazenamento e utilização de dados, como
descrito por Frank Pasquale:
Não temos que viver em um mundo onde pontuações ocultas determinam o destino
das pessoas, ou as manipulações humanas do mercado de ações permanecem tão
inescrutáveis quanto a “mão invisível do mercado”. Não devemos nos preocupar que
o destino de indivíduos, empresas e até mesmo nossos sistemas financeiros estejam
à mercê de bancos de dados ocultos, pontuações duvidosas e apostas obscuras.
(Tradução livre). 27.
Além da utilização de dados sem a ciência do titular e com o fim de, em certos casos,
prejudicá-lo, outro ponto que gera grande preocupação é em relação à segurança da
informação. A partir do momento que existem certos bancos de dados digitais contendo uma
infinidade de dados que podem lesar o titular, é necessário que haja uma regulação no sentido
de obrigar àqueles que tratam os dados a adotar medidas de segurança para a criação de um
sistema eficiente que impeça a ocorrência de incidentes de segurança e, nos casos em que haja
incidente, minimizar seus impactos.
26
MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How
We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013
27
Texto original: “We do not have to live in a world where hidden scores determine people`s fates, or human
manipulations of the stock market remain as inscrutable as the “invisible hand”. We should not have to worry
that fates of individuals, businesses, and even our financial systems are at the mercy of hidden databases,
dubious scores, and shadowy bets” PASQUALE, Frank. The black box society: The secret algorithms that
control money and information. Cambridge: Harvard University Press, 2015. p. 16.
16
28
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro:
Forense, 2019.
29
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020..
30
GVB1 I S. 625 de 7 de outubro de 1970.
17
31
Texto original: “L’incremento dei movimenti transfrontalieri di persone, merci e servizi aveva aperto, assieme
allo sviluppo delle telecomunicazioni, una prospettiva del tutto nuova, che rendeva vana la risoluzione dei
conflitti d’interesse se proiettata sul solo âmbito nazionale: l’efficacia delle legislazioni risultava direttamente
proporzionale all’ampiezza della cooperazione” BUTTARELLI, Giovanni. Banche dati e tutela dela
riservatezza. Milano: Giuffrè, 1997. p. 9.
32
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.p.192.
33
CONSELHO DA EUROPA. Convenção para a Proteção de Indivíduos com Respeito ao Processamento
Automatizado de Dados Pessoais Disponível em https://www.coe.int/en/web/data-protection/convention108-
andprotocol. Acesso em: 16 dez. 2021.
18
continente Europeu. Alguns países que também ratificaram a convenção foram Argentina,
México e Uruguai.
Com a edição desta convenção, diversos países europeus adequaram seus
ordenamentos internos às novas diretrizes, ao passo que alguns desenvolveram suas primeiras
legislações acerca da proteção de dados, a exemplo da Bélgica.
Apesar dos avanços apresentados pela convenção de 1981, foi em 1995 que surgiu o
documento que objetivava padronizar34 a proteção de dados pessoais nos estados da União
Europeia, a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho. A 95/46/CE possuía
um objetivo de, ao mesmo tempo, promover a proteção do titular de dados, editando as
normas necessárias para gozo dos seus direitos fundamentais, e fomentar o mercado de
comercialização de dados na União Europeia.
Isto pode ser constatado pela leitura da legislação, tendo em vista que o artigo 1º
dispõe que o objetivo da norma é:
Ao passo que o item 2 das considerações iniciais faz expressa menção à importância
do sistemas de tratamento de dados, que está a serviço do homem, dispondo expressamente
que a legislação visa o desenvolvimento econômico do comércio e o bem estar dos
indivíduos:
34
WUERMELING. Ulrich. Harmonization of European Union Privacy Law. John Marshall Journal of
Computer & Information Law, v. 14-, 1996.p. 411.
19
dos dados. Portanto, a 95/46/CE trouxe grandes avanços no que tange à legislação de proteção
de dados, principalmente no âmbito das garantias básicas do titular.
Contudo, a diretriz falhou no seu objetivo de criar uma norma que regulasse de
maneira uniforme em todos os estados membros da União Europeia a proteção de dados.
Principalmente em razão da diretriz não ser diretamente aplicada aos membros da UE,
prevendo apenas que os estados deveriam replicar nas legislações nacionais as normas
previstas na diretriz, como lecionam Paul Voigt e Axel von dem Bussche:
35
Texto Original: “In 1995, the European Community therefore adopted Directive 95/46/EC of the European
Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing
of personal data and on the free movement of such data (in short: the Data Protection Directive) in order to
harmonise the protection of fundamental rights of individuals with regard to data processing activities and to
ensure the free flow of personal data between EU Member States.4 European directives are not directly
applicable in all EU Member States but have to be transposed into national law. Thus, they require
implementation measures in each EU Member State. The Data Protection Directive did not live up to its
objectives and failed to align the level of data protection within the EU. Legal differences arose as a
consequence of the implementing acts adopted by the various EU Member States. Data processing activities that
were allowed in one EU Member State could be unlawful in another one with regard to the specific execution of
data processing” VOIGT, Paul; VON DEM BUSSCHE, Axel. The EU General Data Protection Regulation
(GDPR): a practical guide. Cham: Springer, 2017.p.11.
36
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
20
O GDPR busca fortalecer a proteção dos dados pessoais e tem previsões específicas
sobre os direitos pessoais em relação aos dados: o direito a informação (Artigo 13 e
14), o direito de acesso (Artigo 15), o direito à retificação (Artigo 16), o direito à
exclusão (Artigo 17), o direito de limitação do tratamento (Artigo 18), o direito à
portabilidade de dados (Artigo 20), o direito à finalidade (Artigo 21) e o direito
sobre de que haja uma tomada de decisão individual (Artigo 22). Os direitos
destinam-se a aumentar a autonomia e o controle que um titular de dados tem sobre
o tratamento de seus dados pessoais, podem controlar e limitar o uso deles.37.
A criação do GDPR também causou impactos fora da Europa, uma vez que diversas
nações começaram a discutir a criação de legislações próprias que regulassem a proteção de
dados. Conforme é defendido por Colin Bennett38, há uma tendência mundial de convergência
das políticas públicas de proteção de dados, em razão: (i) do determinismo tecnológico; (ii) da
praticidade de cópia de institutos já previstos em outros países (iii) da existência de um grupo
de elite que participa de forma ativa na formulação de propostas legislativas em diversos
países; (iv) da harmonização ou o reconhecimento do valor de uma política coesa na área; (v)
da possibilidade de uma jurisdição com sistema próprio influenciar outras, em razão da
37
Texto Original: “The General Data Protection Regulation (GDPR) seeks to strengthen the protection of
personal data and it makes explicit provision for certain personal rights for data subjects: the right to
information (Article 13 & 14), the right of access (Article 15), the right to rectifcation (Article 16), the right to
erasure (Article 17), the right to restriction of processing (Article 18), the right to data portability (Article 20),
the right to object, (Article 21) and the right regarding automated individual decisionmaking (Article 22). The
rights are intended to enhance the autonomy and control that a data subject has over the processing of their
personal data, and as such, could control and limit the use of a data subjects’ personal data” S
SLOKENBERGA, Santa; TZORTZATOU, Olga. GDPR and Biobanking Individual Rights, Public Interest
and Research Regulation across Europe. Cham: Springer Open Access, 2021.p.95.
38
“Over time, international harmonization efforts, intensive attempts at cross-national learning, as well as the
imperatives of increasingly global communications networks have motivated a process of international policy
convergence. This process has now progressed to such an extent that there is a broad international consensus, at
least among the industrialized countries, about what it means for an organization to pursue privacy friendly
policies. It means that an organization” BENNETT, Colin. Visions of Privacy: Policy Choices for the Digital
Age. Toronto. University of Toronto Press. 1999. p. 6.
21
previsão de normas que limitem as relações comerciais com nações que não possuem
legislações com o mesmo grau de proteção de dados.
Como a Europa foi pioneira na criação da legislação de dados, as legislações
internacionais que foram criadas após a edição do GDPR foram baseadas, em sua maioria, no
regulamento europeu. No Brasil, a LGPD seguiu a tendência mundial, tendo evidente
influência do direito europeu, como será demonstrado a seguir.
Contudo, o plano inicial não foi executado como planejado. A Lei Geral de Proteção
de Dados foi editada 4 anos após o Marco Civil da Internet e a atualização da Lei de Direito
Autorais ainda não ocorreu.
Antes da edição da Lei Geral de Proteção de Dados, o Brasil já possuía dispositivos
isolados acerca dos direitos dos titulares de dados, que foram inseridos de forma avulsa em
diversas legislações com propósitos específicos, frente à ausência de uma legislação geral
sobre o tema.
A primeira diretiva sobre o direito à privacidade e proteção de dados é a própria
Constituição Brasileira, onde se encontram os princípios norteadores dos direitos à
privacidade e à informação, inseridos com status de cláusulas pétreas no texto constitucional,
conforme leciona Doneda:
39
PARENTONI, Leonardo Netto e LIMA, Henrique Souza em DE LUCCA, Newton; SIMÃO FILHO,
Adalberto; LIMA, Cíntia Rosa Pereira; Maciel, Renata Mota (Coord.). Direito e Internet IV: Sistema de
Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019.p.483.
22
No que tange à legislação ordinária, também foram inseridos em leis dispositivos que
tratam da proteção de dados, como: o Código Brasileiro de Comunicações, a Lei do Cadastro
Positivo, o Código Penal (por meio da edição a Lei Carolina Dieckmann, Lei nº 12.737/2012),
além de dispositivos específicos na legislação tributária, trabalhista e outras.
O Código de Defesa do Consumidor (CDC), Lei 8.078, de 11 de setembro de 1990,
tem protagonismo entre esses dispositivos de proteção de dados. O artigo 43 do CDC incluiu
uma série de institutos que visam a proteção dos dados do consumidor, mais especificamente
em relação às suas informações pessoais. Como o Código de Defesa do Consumidor foi
editado com o objetivo de conferir proteção à parte mais vulnerável na relação de consumo,
acabou por criar um sistema inovador que engloba também a proteção dos dados do
consumidor.
O artigo 43 do Código de Defesa do Consumidor teve como base a normativa norte-
americana de proteção ao crédito, estabelecida pelo National Consumer Act e pelo Fair Credit
Reporting Act – FCRA, de 197041, o que limita a sua eficiência no que tange à proteção de
dados.
Contudo, por meio de uma interpretação extensiva, conforme defende Antônio
Herman de Vasconcelos, é possível se extrair princípios e conceitos de proteção de dados que
alcançam certo nível de complexidade, como o instituto da finalidade dos dados tratados, que
pode ser obtido pela interpretação dos princípios da boa-fé, previstos no CDC, juntamente
com o direito constitucional à privacidade:
40
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.p.266.
41
BENJAMIN, Antônio Herman de V. et al. Código brasileiro de defesa do consumidor: Comentado pelos
autores do anteprojeto. 5. ed. Rio de Janeiro: Forense Universitária, 1997.p. 327.
42
BENJAMIN, Antônio Herman de V. et al. Código brasileiro de defesa do consumidor: Comentado pelos
autores do anteprojeto. 5. ed. Rio de Janeiro: Forense Universitária, 1997.p.328.
23
43
PARENTONI, Leonardo Netto e LIMA, Henrique Souza em DE LUCCA, Newton; SIMÃO FILHO,
Adalberto; LIMA, Cíntia Rosa Pereira; Maciel, Renata Mota (Coord.). Direito e Internet IV: Sistema de
Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019.
24
Todo esse cenário indicava a necessidade de edição de uma legislação geral que
tratasse da proteção de dados, tanto por se tratar de direito fundamental autônomo, quanto
pelo novo contexto econômico do surgimento da economia de Big Data, como esclarece
Stefano Rodotà:
44
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Tradução de Danilo Doneda e
Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008. p. 17
45
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
25
Desses princípios, os mais relevantes para o recorte que será realizado no presente
trabalho são os da segurança, prevenção, qualidade e transparência, uma vez que estão
diretamente ligados aos incidentes de segurança e ao conceito de segurança da informação,
como será abordado a seguir.
6. SEGURANÇA DA INFORMAÇÃO
doutrina se por meio das normas de gestão se pretende atingir uma governança de dados ou
uma governança da informação:
Como a Lei Geral de Proteção de Dados optou por inserir no seu 1º artigo que: “Esta
Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural” e conceituou dado pessoal, por meio do artigo 5º, como:
“informação relacionada a pessoa natural identificada ou identificável”, por assunção lógica,
chega-se à conclusão que a LGPD pretende definir regras para criação de uma política de
gestão da informação.
Isto se dá porque apenas um dado não é capaz de ser atrelado a um indivíduo, devendo
esse dado ser ordenado com outros, para que haja a criação de uma informação que possa
identificar uma pessoa natural, enquadrando-se no conceito de dados pessoais apresentado
pela LGPD.
Além disso, é necessário realizar a diferenciação entre os conceitos de segurança da
informação e segurança cibernética. O conceito de segurança da informação é a proteção da
confidencialidade, integridade, disponibilidade, utilidade, controle e autenticidade das
informações, com o objetivo da proteção da base de dados frente a inúmeras ameaças47.
Para melhor entendimento do conceito, imperioso perpassar pelos princípios
fundamentais da segurança e os demais elementos relevantes. Em relação aos princípios
fundamentais, explica Kees Hintzbergen que são 3: disponibilidade, integridade e
confidencialidade:
46
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de Janeiro: Alta
Books, 2019.p.16.
47
HINTZBERGEN, Jule; HINTZBERGEN, Kees; BAASR, Hans; SMULDERS, André. Foundations of
Information Security: based on ISO 27001 and 27002. 3. ed. revisada. Série “Best Practices”. Tradução de
Alan de Sá. Den Bosch: Van Haren Publishing, 2015.
27
Ainda conforme o autor, o triangulo CIA, ao qual faz referência, pode ser representado
pelo seguinte esquema:
informação viola a integridade. Com esse princípio, pretende-se evitar que haja informações
incorretas e imprecisas, que podem ser geradas por um erro de preenchimento humano, por
corrompimento de algum elemento eletrônico ou por uma invasão.
Neste sentido, Donn Parker leciona:
49
PARKER, Donn. Política de Segurança e inventário e ativos de informação. Indaial: Uniasselvi, 2020.p.43.
29
50
FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas e organizações.
São Paulo: Sicurezza, 2000. p. 21.
30
Assim, essa é a diferença entre a segurança da informação e a segurança cibernética, uma vez
que a segurança cibernética visa a proteção exclusivamente das informações digitais.
O conceito de segurança cibernética não é uniforme, uma vez que não há um consenso
universal acerca do tema, tendo certas diferenciações entre a definição adotada por cada
instituição. A UIT/ITU (União Internacional das Comunicações) um órgão da Organização da
Nações Unidas (ONU), define segurança cibernética como:
Por sua vez, a União Europeia adota uma conceituação ligeiramente diferente,
definindo a segurança cibernética como:
51
INTERNATIONAL COMMUNICATIONS UNION. Series X: Data Networks, Open System
Communications and Security - Telecommunication Security - Overview of cybersecurity
(Recommendation ITU-T X.1205). Telecommunication Standardization Sector of ITU (ITU-T), Genebra, abril
2008.Disponível em: <http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=9136&lang=en>. Acesso em:
22 jan. 2022.
52
EUROPEAN COMISSION. Cybersecurity Strategy of the European Union: An Open, Safe and Secure
Cyberspace. High Representative of the European Union for Foreign Affairs and Security Policy, Bruxelas, 7
fevereiro 2013. Disponível em: <http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=1667>. Acesso em:
22 jan. 2022.
53
BRASIL, Presidência da República. Estratégia de Segurança da Informação e Comunicações e de
Segurança Cibernética da Administração Pública Federal. Gabinete de Segurança Institucional,
Departamento de Segurança da Informação e Comunicações, março 2015. Disponível em:
<http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf>. Acesso em: 22 jan. 2022.
31
54
Disponível em https://www.privacy-regulation.eu/pt/4.htm. Acesso em: 7 set. 2021.
32
Dessa forma, conclui-se que a legislação europeia optou por classificar os incidentes
de segurança em três espécies, conforme expõe Carlos Affonso Pereira de Souza:
À luz da Lei Geral de Proteção de Dados (art. 46), o termo “incidente de segurança”
pode ser definido como a violação das medidas adotadas pelos agentes de tratamento
para salvaguardar a integridade e o sigilo dos dados pessoais sob sua administração,
resultando em acessos não autorizados e em situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito57.
55
EUROPEAN COMMISSION. Article 29 Working Party. Guidelines on Personal data breach notification
under Regulation 2016/679, 20 ago. 2018. Disponível em: ttps://ec.europa.eu/newsroom/
article29/items/612052. Acesso em: 10 jan. 2022.
56
SOUZA, Carlos Affonso em TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei
Geral de Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo: Thomson
Reuters Brasil, 2019. p.247
57
SOUZA, Carlos Affonso em TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei
Geral de Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo: Thomson
Reuters Brasil, 2019. p.251.
33
58
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de segurança, 22
fev. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acessado em 10 jan.
2022.
59 ANDRADE, Henrique. Site do Ministério da Saúde sofre ataque hacker durante madrugada e sai do ar. CNN
Brasil. Disponível em: https://www.cnnbrasil.com.br/nacional/site-do-ministerio-da-saude-sofre-ataque-hacker-
durante-madrugada-e-sai-do-ar/. Acesso em 19 dez. 2021
34
vazados dados de 160.100 chaves PIX64 (meio de pagamento adotado pelo Brasil) contendo
informações pessoais dos titulares.
Em relação aos incidentes de integridade, conforme explicado anteriormente, ocorre
alteração não autorizada dos dados. A alteração de dados pode ocorrer internamente, por meio
de usuário que tem acesso ao sistema65, ou externamente, por meio de um ataque. Um caso de
incidente de integridade que foi amplamente noticiado envolveu a empresa de entregas
Ifood66. Em 02/11/2021 os nomes de alguns restaurantes foram alterados para declarações
políticas, modificando as informações que constavam no site e no aplicativo. O próprio Ifood
se manifestou esclarecendo que o incidente ocorreu devido a um funcionário que detinha
acesso ao sistema.
Outro exemplo de incidente de integridade de dados também foi novamente
protagonizado pelo Ministério da Saúde67. Os dados sobre aplicação das doses da vacina
contra a Covid-19 no aplicativo ConecteSUS foram alterados, de forma que alguns usuários,
mesmo já tendo tomado as duas doses da vacina, ficaram impossibilitados de emitir o
certificado de conclusão do esquema vacinal, documento obrigatório para certos eventos
públicos. Neste caso, constata-se a perda parcial de informações, resultando em uma
incompletude, o que viola a integridade da informação.
Realizada essa contextualização acerca do conceito de incidente de segurança e das
suas espécies, é relevante analisar as normas previstas na LGPD para prevenir a ocorrência
desses incidentes e, mesmo quando não for possível evitar, que sejam minimizados os dados.
64
LEAL, Aline. Banco Central comunica vazamento de dados de 160,1 mil chaves Pix. Agência Brasil.
Disponível em: https://agenciabrasil.ebc.com.br/economia/noticia/2022-01/bc-comunica-vazamento-de-dados-
de-1601-mil-chaves-pix. Acesso em: 25 jan. 2022.
65
Esses incidentes são considerados de risco humano e definidos pela EDPB como: “The role of human error in
personal data breaches has to be highlighted, due to its common appearance. Since these types of breaches can
be both intentional and unintentional, it is very hard for the data controllers to identify the vulnerabilities and
adopt measures to avoid them. The International Conference of Data Protection and Privacy Commissioners
recognized the importance of addressing such human factors and adopted the resolution to address the role of
human error in personal data breaches in October 2019 . This resolution stresses that appropriate safeguarding
measures should be taken to prevent human errors and provides a non-exhaustive list of such safeguards and
approaches.” EUROPEAN DATA PROTECTION BOARD. Guidelines 01/2021 on Examples regarding
Personal Data Breach Notification, 3 jan. 2022. Disponível em: https://edpb.europa.eu/our-work-tools/our-
documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en Acesso em: 10 jan.
2022.”
66
MOGNON, Mateus. iFood confirma que ataque foi realizado por funcionário. TecMundo, 03 nov. 2021.
Disponível em: https://www.tecmundo.com.br/seguranca/227997-ifood-confirma-ataque-realizado-
funcionario.htm?f. Acesso em: 10 jan. 2022
67
MOGNON, Mateus. iFood confirma que ataque foi realizado por funcionário. TecMundo, 03 nov. 2021.
Disponível em: https://www.tecmundo.com.br/seguranca/227997-ifood-confirma-ataque-realizado-
funcionario.htm?f. Acesso em: 10 jan. 2022
36
O artigo 46, caput, da Lei Geral de Proteção de Dados prevê uma norma que confere
um dever aos agentes de tratamento de dados, quais sejam: o controlador (aquele a quem
compete as decisões referentes ao tratamento de dados pessoais) e o operador (aquele que
realiza o tratamento de dados pessoais em nome do controlador), conforme previsto no art. 5°,
incs. VI, VII e IX da LGPD.
A norma cria uma obrigação que, caso violada, deve gerar sanções e
responsabilização, conforme lecionam Márcio Cots e Ricardo Oliveira: “Inicialmente, vale
notar que o verbo ‘devem’ é impositivo da lei, ou seja, não se trata de faculdade: é uma
obrigação legal que, se não cumprida, poderá ensejar a aplicação de sanções administrativas e
responsabilidade civil”68.
Em relação ao referido dispositivo, a legislação europeia possui previsão semelhante
no artigo 25 do GDPR, estabelecendo que o responsável pelo tratamento de dados deve adotar
medidas técnicas de gestão das informações, porém de forma mais rigorosa, conforme
explana Rony Vainzof:
68
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo:
Thomson Reuters Brasil, 2018. p. 238
69
VAINZOF, Rony. Dados pessoais, tratamento e princípios. In: MALDONADO, Viviane Nóbrega e BLUM,
Renato Opice (Coord.). LGPD: Lei Geral de Proteção de Dados Comentada. 2. ed. São Paulo: Thomson Reuters
Brasil, 2020. p. 67.
37
Verifica-se que o legislador optou por conferir o dever aos agentes de tratamento de
dados de adotar medidas multidisciplinares, que envolvem as áreas de conhecimento da
administração, recursos humanos, tecnologia e outras. O §1º do artigo 46 da LGPD autoriza a
ANPD a definir parâmetros técnicos mínimos para tornar possível a aplicação do caput do
artigo, observando os princípios previstos no artigo 6º da mesma lei.
Em relação a esse ponto, é necessário destacar que a Autoridade Nacional de Proteção
de Dados é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD,
conforme previsto no artigo 5º, XIX, da Lei Geral de Proteção de Dados. O GDPR também
institui um órgão responsável por assegurar a aplicação da norma, o Comitê Europeu para
Proteção de Dados, que possui previsão legal nos artigos 68 e seguintes do GDPR.
Além disso, destaca-se que o artigo 46, §1º, da LGPD optou por prever que a ANPD
criará normas sobre os requisitos mínimos para a proteção da informação, entendendo-se,
assim, que não pode ser exigida a adoção de medidas de segurança de alta complexidade e
custo, tendo em vista que seria economicamente inviável. Ainda, a Autoridade Nacional não
possui liberdade plena para exercer a competência deferida pela lei, tendo em vista que deverá
considerar: a natureza das informações tratadas, as características específicas do tratamento, o
estado atual da tecnologia e os princípios previstos no caput do artigo 6º da mesma lei.
Sobre os elementos que devem ser considerados pela ANPD, oportunas algumas
considerações. Primeiramente, no que tange à previsão de que deverá ser considerada a
natureza das informações, chama-se atenção pela escolha acertada do legislador em inserir o
termo “informações” e não “dados” na referida norma, tendo em vista a diferenciação
mencionada no capítulo anterior.
Ademais, destaca-se que a lei não foi categórica ao definir quais seriam as medidas
mínimas para garantir a segurança da informação, optando por delegar esse papel à ANPD e
determinando que essa função será exercida observando o estado atual da tecnologia. Tal
previsão é imprescindível para a LGPD, tendo em vista que, se a lei optasse por incluir no
texto expressamente as medidas mínimas para garantir a SI, rapidamente o diploma legal se
tornaria obsoleto, tendo em vista as inúmeras inovações tecnológicas que certamente
acontecerão em um futuro próximo e acabariam por tornar a lei defasada. Essa foi uma das
soluções encontradas pela legislação para o desafio de regular as novas tecnologias.
Por fim, destaca-se que o §1º do artigo 46 da LGPD definiu que a ANPD deve exercer
sua função observando os princípios do caput do artigo 6º. O art. 6º começa enunciando o
princípio da boa-fé, estando os demais princípios previstos nos seus diversos incisos, quais
38
sejam: finalidade (inc. I), adequação (inc. II), necessidade (inc. III), livre acesso (inc. IV),
qualidade dos dados (inc. V), transparência (inc. VI), segurança (inc. VII), prevenção (inc.
VIII), não discriminação (inc. IX) e responsabilização e prestação de contas (inc. X).
Realizando a comparação dessa norma com a legislação europeia, observa-se que o
GDPR possui limitações semelhantes, principalmente relacionadas ao custo de
implementação das tecnologias para evitar a ocorrência de um incidente de segurança.
Contudo, no regulamente europeu se optou por definir que as empresas devem se valer de
todas as tecnologias no mercado para identificar a ocorrência de um incidente, com o fito de
dar celeridade a notificação que deve ser enviada, como pontua o Grupo de Trabalho do
Artigo 29:
70
EUROPEAN COMMISSION. Article 29 Working Party. Guidelines on Personal data breach notification
under Regulation 2016/679, 20 ago. 2018. Disponível em: https://ec.europa.eu/newsroom/article29
/items/612052. Acesso em: 10 jan. 2022.
71
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro:
Forense, 2019. p.176
39
de produto ou serviço desde as fases de idealização. Essa é exatamente a ideia contida no §2º
do artigo 46 da Lei Geral de Proteção de Dados, conforme Camilla do Vale Jimene esclarece:
Tais princípios foram amplamente adotados, de forma que a Diretiva 95/46 da União
Europeia sobre a proteção de dados pessoais mencionou o assunto em seu Considerando 46 e,
em 2016, o GDPR estabeleceu tais conceitos como pressupostos para a proteção de direitos e
liberdades do indivíduo em seu Considerando 78 e em seu artigo 25. Mais uma vez se observa
que a legislação brasileira se inspirou nas normas da Europa para criação do presente artigo,
adotando a concepção de privacy by desigi, porém, de forma menos explicita.
O artigo 47 da Lei Geral de Proteção de Dados determina que são obrigados a garantir
a segurança da informação os agentes de proteção de dados e qualquer pessoa que intervenha
em uma das fases do tratamento de dados, até o seu término.
72
JIMENE, Camilla do Vale em MALDONADO, Viviane; BLUM, Renato. Comentários ao GDPR. São Paulo:
Thomson Reuters Brasil, 2021.p.379.
73
CAVOUKIAN, Ann. Privacy by Design The 7 Foundational Principles. Disponível em: www.ipc.on.ca/wp-
content/uploads/Resources/7foundationalprinciples.pdf. Acesso em: 23 jan. 2022.
40
74
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da
Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. Rio de
Janeiro, 2013. Disponível em: https://www.normas.com.br/visualizar/abnt-nbr-nm/21529/abnt-nbriso-i ec27002-
tecnologia-da-informacao-tecnicas-de-seguranca-codigo-de-pratica-para-controles-d e-seguranca-da-informacao.
Acessado em 10 fev. 2022.
75
No texto original: “Almost every organization processes Personally Identifiable Information (PII). Further, the
quantity and types of PII processed is increasing, as is the number of situations where an organization needs to
cooperate with other organizations regarding the processing of PII. Protection of privacy in the context of the
processing of PII is a societal need, as well as the topic of dedicated legislation and/or regulation all over the
41
O artigo 26.º diz respeito aos responsáveis conjuntos pelo tratamento e especifica
que os responsáveis conjuntos devem determinar as respetivas responsabilidades
pelo cumprimento do RGPD. Tal inclui determinar que parte terá responsabilidade
pelo cumprimento das obrigações previstas nos artigos 33.º e 34.º. O GT29
recomenda que os acordos contratuais entre responsáveis conjuntos incluam
disposições que determinem que responsável pelo tratamento assumirá a liderança
ou será responsável pelo cumprimento das obrigações de notificação de violação do
RGPD76.
world”. (ISO/IEC 27701:2019: Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for
privacy information management – Requirements and guidelines. Geneve, 2019, Introduction)
76
EUROPEAN COMMISSION. Article 29 Working Party. Guidelines on Personal data breach notification
under Regulation 2016/679, 20 ago. 2018. Disponível em: https://ec.europa.eu/newsroom/article29
/items/612052. Acesso em: 10 jan. 2022.
42
77
Sobre o tema o GT29 esclarece: “O artigo 33.º, n.º 2, esclarece que, se um responsável pelo tratamento
recorrer a um subcontratante e este tomar conhecimento de uma violação dos dados pessoais que está a tratar em
nome do responsável pelo tratamento, deve notificar o responsável pelo tratamento «sem demora injustificada».
É de salientar que o subcontratante não necessita de avaliar primeiro a probabilidade de risco resultante de uma
violação antes de notificar o responsável pelo tratamento; cabe ao responsável pelo tratamento efetuar essa
avaliação ao ter conhecimento da violação. O subcontratante só necessita de apurar a ocorrência de uma violação
e notificá-la ao responsável pelo tratamento. O responsável pelo tratamento recorre ao subcontratante para
alcançar os seus objetivos; por conseguinte, em princípio, considera-se que o responsável pelo tratamento tomou
«conhecimento» assim que o subcontratante o informa da violação. A obrigação de o subcontratante notificar o
seu responsável pelo tratamento permite ao responsável pelo tratamento responder a uma violação e determinar
se é ou não exigido notificar a autoridade de controlo em conformidade com o artigo 33.º, n.º 1, e as pessoas
afetadas em conformidade com o artigo 34.º, n.º 1. O responsável pelo tratamento também pode querer investigar
a violação, uma vez que o subcontratante pode não estar em posição de saber todos os fatos relevantes
relacionados com o assunto, por exemplo, se uma cópia ou cópia de segurança dos dados pessoais destruídos ou
perdidos pelo subcontratante ainda se encontra na posse do responsável pelo tratamento. Tal pode ditar a
necessidade de o responsável pelo tratamento proceder ou não à notificação.” EUROPEAN COMMISSION.
Article 29 Working Party. Guidelines on Personal data breach notification under Regulation 2016/679, 20
ago. 2018. Disponível em: https://ec.europa.eu/newsroom/article29 /items/612052. Acesso em: 10 jan. 2022.
43
78
DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998.p.215.
79
ACQUAVIVA, Marcus Cláudio. Dicionário jurídico brasileiro Acquaviva. 9. ed. rev., atual. e ampl. São
Paulo: Ed. Jurídica Brasileira, 1998.p.421.
80
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de segurança, 22
fev. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acessado em 10 jan.
2022.
81
UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April
2016 on the protection of natural persons with regard to the processing of personal data and on the free
movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em:
< https://eur-lex.europa.eu/eli/reg/2016/679/oj>. Acesso em 15 fev. 2022.
44
empresa Twitter82, devido a um vazamento de dados. O Twitter possui duas opções acerca do
conteúdo que é publicado pelos titulares, podendo um usuário definir se suas publicações
serão públicas (visíveis a todos os usuários), ou privadas (disponíveis apenas aos usuários aos
quais o titular conferiu autorização). Contudo, a segurança da rede social foi invadida e posts
privados foram disponibilizados como públicos. Como o Twitter não comunicou à autoridade
no prazo de 72 horas, a referida multa foi aplicada por violação ao artigo 33 do GDPR.
As sanções pecuniárias que podem ser aplicadass pela autoridade de dados europeia
possuem valor elevado, atingindo o limite de 10 000 000 EUR ou até 2 % do volume de
negócios anual em nível mundial83.
No que tange às informações que devem constar da notificação, os incisos do §1º do
artigo 48 da LGPD definem a apresentação das seguintes informações: (i) descrição da
natureza dos dados pessoais afetados; (ii) informações sobre os titulares envolvidos; (iii)
indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv)
riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter
sido imediata; (vi) medidas que foram ou que serão adotadas para reverter ou mitigar os
efeitos do prejuízo.
Observa-se que a lei exige que seja apresentado um relatório detalhado com relação ao
incidente, que poderá servir para análise dos motivos que levaram à sua ocorrência. O objeto
deste dispositivo é mapear os incidentes que ocorrem, buscando causas em comum e,
consequentemente, formas de evitar o acontecimento, conforme ensina Edison Fontes:
82
REUTERS. Regulador da Irlanda multa Twitter em marco para o regime de privacidade de dados da EU. G1.
Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2020/12/15/regulador-da-irlanda-multa-
twitter-em-marco-para-regime-de-privacidade-de-dados-da-ue.ghtml. Acessado em 20 jan. 2022
83
Segundo o GT29: “Se os responsáveis pelo tratamento não notificarem a autoridade de controlo ou os titulares
dos dados de uma violação de dados, ou ambos, mesmo que os requisitos do artigo 33.º e/ou 34.º sejam
cumpridos, é colocada à autoridade de controlo uma escolha que deve incluir a análise de todas as medidas
corretivas à sua disposição, incluindo a imposição de uma coima adequada, quer acompanhada de uma medida
corretiva nos termos do artigo 58.º, n.º 2, quer por si própria. Caso se opte por uma coima, o seu valor pode ser
até 10 000 000 EUR ou até 2 % do volume de negócios anual a nível mundial, de uma empresa de acordo com o
artigo 83.º, n.º 4, alínea a), do RGPD. É igualmente importante ter em mente que, em certos casos, a não
notificação de uma violação pode revelar uma ausência de medidas de segurança ou uma inadequação das
medidas de segurança existentes. As orientações do GT29 relativas às coimas estabelecem o seguinte: «A
ocorrência de várias infrações distintas, cometidas em conjunto em qualquer caso individual específico, significa
que a autoridade de controlo pode aplicar as coimas a um nível que seja efetivo, proporcionado e dissuasivo,
dentro do limite aplicável à infração mais grave.» Nesse caso, a autoridade de controlo terá também a
possibilidade de emitir sanções, por um lado, por falta de notificação ou de comunicação da violação (artigos
33.º e 34.º) e, por outro, por ausência de medidas (adequadas) de segurança (artigo 32.º), uma vez que se trata de
duas infrações separadas.” EUROPEAN COMMISSION. Article 29 Working Party. Guidelines on Personal
data breach notification under Regulation 2016/679, 20 ago. 2018. Disponível em:
https://ec.europa.eu/newsroom/article29 /items/612052. Acesso em: 10 jan. 2022..
45
A criptografia existe desde que o mundo é mundo. No mundo virtual, trata-se de uma
técnica de codificação de textos que faz com que a transmissão de mensagens e textos
se torne “ilegível” para quem não tem acesso ao padrão utilizado. Para cifrar ou
decifrar mensagens, é usado um padrão criptográfico conhecido como chave. Quanto
84
FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.p.226.
85
Segundo a definição de Celso Antônio Bandeira de Melo, ato administrativo discricionário é aquele que possui
margem de liberdade: “A margem de liberdade conferida pela lei ao administrador a fim de que este cumpra o
dever de integrar com sua vontade ou juízo a norma jurídica, diante do caso concreto, segundo critérios
subjetivos próprios, a fim de dar satisfação aos objetivos consagrados no sistema legal”
46
maios for a chave, isto é quanto maior o número de bits da chave, maior será a
proteção. […] A criptografia pode ser simétrica (ou chave privada) ou assimétrica
(chave pública). No primeiro caso, a mesma chave é usada tanto para cifrar quanto
para decifrar mensagens. […] Na criptografia assimétrica são usadas duas chaves
distintas, uma para cifrar e outra para decifrar, embora matematicamente vinculadas.
[…] A criptografia, a cada dia que passa, torna-se mais e mais usual em qualquer
transação realizada via Internet. Suas principais funções são: (i) confidencialidade, (ii)
autenticidade e (iii) integridade das mensagens86
Por fim, no mesmo sentido das normas previstas no artigo 47 da LGPD, o artigo 49
determina o dever da estruturação dos sistemas de tratamento de dados, de forma a atender
aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios
gerais previstos nesta Lei e às demais normas regulamentares.
Observa-se que o dispositivo em comento optou pela previsão de termos genéricos e
abrangentes sobre os requisitos de um sistema. No que tange à adequação das boas práticas de
governança, novamente se faz menção às normas ISO/IEC. A norma técnica ABNT NBR
ISO/IEC 27001:2013 consiste em requisitos e diretrizes de boas práticas para Gestão de
Sistema de Segurança da Informação, inclusive sobre Privacidade, consubstanciados nas
melhores técnicas mundialmente reconhecidas sobre o assunto.
Além disso, assim como no artigo 47 da LGPD, o legislador optou por fazer menção à
observância dos princípios previstos no artigo 6º da Lei, sendo também aplicável o conceito
de privacy by design, exposto no capítulo anterior. Portanto, trata-se, também, de norma que
86
COSTA, Ligia Maura. Direito internacional eletrônico: manual das transações on-line. São Paulo: Ed.
Quartier Latin, 2008.p.58.
47
9. CONCLUSÃO
REFERÊNCIAS
ADAMS, Maurice; HEIRBAUT, Dirk (Ed.). The Method and Culture of Comparative
Law: Essays in Honour of Mark Van Hoecke. Oxford: Hart Publishing, 2014.
ANDRADE, Henrique. Site do Ministério da Saúde sofre ataque hacker durante madrugada e
sai do ar. CNN Brasil. Disponível em: https://www.cnnbrasil.com.br/nacional/site-do-
ministerio-da-saude-sofre-ataque-hacker-durante-madrugada-e-sai-do-ar/. Acesso em 19 dez.
2021
BENNETT, Colin. Visions of Privacy: Policy Choices for the Digital Age. Toronto:
University of Toronto Press. 1999.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Redação dada pela Lei nº 13.853, de 2019. Brasília, DF: Senado Federal, 2018.
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
ato2011-2014/2014/lei/l12965.htm. Acessado em: 10 fev. 2022.
BUTTARELLI, Giovanni. Banche dati e tutela dela riservatezza. Milano: Giuffrè, 1997.
CORDEIRO, Barreto Menezes. Direito da Proteção de Dados- À luz do RGPD e da Lei n.º
58/2019. Portugal. Edições Almedina: 2020.
COSTA, Ligia Maura. Direito internacional eletrônico: manual das transações on-line. São
Paulo: Ed. Quartier Latin, 2008.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada.
São Paulo: Thomson Reuters Brasil, 2018.
DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira; Maciel,
Renata Mota (Coord.). Direito e Internet IV: Sistema de Proteção de Dados Pessoais. São
Paulo: Quartier Latin, 2019.
GROSSI, Bernardo Menicucci. Lei Geral de Proteção de Dados: uma análise preliminar da
Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial. Porto Alegre.
Editora Fi, 2020.
HARARI, Yuval Noah. Sapiens: uma breve história da humanidade. Tradução de Janaína
Marcoantonio. Porto Alegre: L&PM, 2015.
JORNAL NACIONAL. Ataque hacker atingiu computadores em quase 100 países na sexta.
G1. Disponível em: https://g1.globo.com/jornal-nacional/noticia/2017/05/ataque-hacker-
atingiu-computadores-em-quase-100-paises-na-sexta.html. Acesso em 22 jan. 2022.
JOSSEN, Sam. The world’s most valuable resource is no longer oil, but data. The
Economist. Disponível em: www.economist.com/leaders/2017/05/06/the-worlds-most-
valuable-resource-is-no-longer-oil-but-data. Acesso em: 20 jan. 2022.
LEAL, Aline. Banco Central comunica vazamento de dados de 160,1 mil chaves Pix. Agência
Brasil. Disponível em: https://agenciabrasil.ebc.com.br/economia/noticia/2022-01/bc-
comunica-vazamento-de-dados-de-1601-mil-chaves-pix. Acesso em: 25 jan. 2022.
LEONARDI, Marcel. Tutela e Privacidade na Internet. São Paulo. Editora Saraiva. 2011.
LIMA, Maurício. Banco Inter vai pagar R$ 1,5 milhão por vazamento de dados de clientes.
Veja. Disponível em: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-
por-vazamento-de-dados-de-clientes/. Acesso em: 20 jan. 2022.
MALDONADO, Viviane Nóbrega e BLUM, Renato Opice (Coord.). LGPD: Lei Geral de
Proteção de Dados Comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
52
MOGNON, Mateus. iFood confirma que ataque foi realizado por funcionário. TecMundo, 03
nov. 2021. Disponível em: https://www.tecmundo.com.br/seguranca/227997-ifood-confirma-
ataque-realizado-funcionario.htm?f. Acesso em: 10 jan. 2022
PASQUALE, Frank. The black box society: The secret algorithms that control money and
information. Cambridge: Harvard University Press, 2015.
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de
Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo:
Thomson Reuters Brasil, 2019.
53
VOIGT, Paul; VON DEM BUSSCHE, Axel. The EU General Data Protection Regulation
(GDPR): a practical guide. Cham: Springer, 2017.