Quando algum evento acarreta a violação da segurança de dados pessoais, tais como o vazamento, possibilitando o acesso de terceiros em situações sem respaldo da legislação pertinente, ou situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, fica configurado o que se convencionou chamar de incidente de segurança. [1]

Pesquisa realizada por jurimetria indica que o incidente de segurança com dados pessoais foi tema de quase 70% das decisões judiciais que versam sobre a Lei Geral de Proteção de Dados proferidas até agosto de 2021. [2]

Inclusive, importante ressaltar que já existem ações em que os titulares têm pleiteado por verbas indenizatórias em decorrência do vazamento de seus dados pessoais. Em sede de decisões, a maioria dos magistrados têm entendido pela necessidade de comprovação dos danos ocorridos para o arbitramento de eventual indenização.

Não se pode afirmar que o vazamento de dados, por si só, gera obrigação de indenizar, pois não implica na certeza de dano. Ainda assim, com base na análise de decisões judiciais proferidas, é possível perceber que alguns juízes de primeira instância, ainda que em menor número, entenderam pela configuração do dano moral in re ipsa, em que é suficiente que o titular demonstre a prática do ato ilícito, que é presumido como danoso e, portanto, indenizável.

É certo que o tema abordado ainda será objeto de muitas discussões e alterações nos entendimentos jurisprudenciais e legais, o que eleva a importância de que os agentes de tratamento de dados busquem se adequar às normas da LGPD, bem como implementem um plano de ação em caso de ocorrência de um eventual incidente de segurança com dados pessoais.

A segurança, viabilizada por meio dos projetos supramencionados, é essencial, principalmente em razão da incerteza no cenário regulatório atual, pois além das condenações judiciais acima mencionados, ainda há que se levar em consideração o risco de autuações no âmbito administrativo..

A LGPD, no art. 46, dispõe que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas que protejam os dados pessoais de possíveis violações que possam gerar incidentes de segurança, tais como os mencionados no inicio do presente artigo. [3]

Nos casos em que, houver a configuração de um incidente de segurança, ainda que asseguradas as medidas previstas na lei para que não ocorram, os agentes devem informar imediatamente á Autoridade Nacional de Proteção de Dados (ANPD), devendo também informar ao titular dos dados quando houver risco ou dano relevante, conforme previsão do art. 48 da Lei Geral de Proteção de Dados. [4]

A comunicação à ANPD deve conter, no mínimo, a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. [5]

A informação deve ser realizada por meio do preenchimento do formulário disponível no site do Governo , que deverá ser encaminhado no próprio site, na opção de Peticionamento Eletrônico – Usuário Externo.

A equipe do Goulart Colepicolo Advogados tem advogados especializados em Direito Digital, Tecnologia e Proteção de Dados com capacitação para a elaboração dos projetos de adequação e planos de ação, permanecendo a disposição para esclarecer eventuais dúvidas.

Vitória Vanessa de Melo é advogada associada do nosso escritório, com atuação nas áreas de Contencioso Cível e Recuperação de Créditos.

Referências:

[1] GOV.BR. Comunicação de incidentes de segurança. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em 14 de novembro de 2021.

[3] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em:< http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: setembro de 2021.

[4] GOV.BR. Comunicação de incidentes de segurança. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em 14 de novembro de 2021.

[5] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em:< http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: setembro de 2021.