Ciência e Tecnologia News 

Proteção de dados: empresas mantêm papel de filtrar qual incidente de segurança é ‘relevante’

tutoriaisweb
Proteção de Dados: definição prévia de 'relevância' dos incidentes caberá às empresas
Sem definição expressa em norma sobre multas a quem violar proteção de dados, conceito de ‘dano relevante’ gera debate (Crédito: Freepik)

Técnicos da Autoridade Nacional de Proteção de Dados (ANPD) explicaram nesta quarta-feira, 1º, um dos principais pontos questionados por especialistas sobre a norma que define as punições a quem violar a Lei Geral de Proteção de Dados – LGPD – (regulamento de dosimetria). Trata-se do quê exatamente a autarquia vai entender como um “dano relevante”, que envolve um dos critérios para definir o grau da violação e, desta forma, o peso da punição.

O coordenador-geral de Fiscalização da ANPD lembra que o termo “dano relevante” é mencionado na LGPD, quando diz que o controlador de dados (ou seja, a empresa ou pessoa que obtém os dados), deverá comunicar à autoridade nacional e também à pessoa que teve a informação violada sobre a ocorrência de “incidente de segurança” que possa acarretar “risco ou dano relevante” aos titulares (Art. 48).

“Em princípio, quem tem que avaliar se é dano relevante ou não é a empresa que está contratando os dados pessoais que sofreram o incidente, mas a gente [ANPD] pode pensar também nos impactos significativos sobre os titulares”, diz Lopes.

O técnico da autarquia explica que a LGPD dá “indícios” de que o dano relevante são aqueles que afetam os direitos e garantias fundamentais. “A própria lei, em vários momentos da sua redação, remete a isso, de que você tem que analisar os riscos de impactos sobre os direitos e garantias fundamentais do titular. Para nós, a ideia de ‘dano considerável’ [ou dano relevante] significa e a Lei nos deu indícios de que é quando você vai afetar um direito ou garantias fundamentais”.

Exemplificando, o técnico da autarquia cita casos que envolvem direitos e garantias fundamentais e que podem ser considerados relevantes. “Nós podemos pensar até mesmo no direito à vida dessa pessoa, o que vai revelar certas informações ou tratar certas informações que podem pôr em risco a vida dessa pessoa; ou eventualmente pode impedir que ela entre em determinados lugares ou faça certas coisas do cotidiano que todos nós estamos acostumados a fazer”.

Especialistas ouvidos pelo Tele.Síntese questionam o fato de violações a direitos fundamentais estarem previstos como possíveis infrações “médias” na norma que define as punições da ANPD. Casos de quebra de sigilo bancário, por exemplo, é um dos incidentes citados pelo coordenador-geral de Fiscalização da ANPD entre aqueles que podem vir a ser considerados “menos gravoso”, apesar de ter um impacto considerável.

“Também tem coisas que eu digo que seriam menos gravosas, como por exemplo, de certa forma aquela pessoa teve o sigilo bancário violado e aí ela foi vítima de fraude. Também é um dano considerável ao titular, o impacto financeiro é algo considerável. O impacto também pode acontecer numa exposição dessa pessoa de tal maneira que ela sofra um constrangimento da sociedade ou uma recriminação por sua conduta ou uma peculiaridade sua…”, exemplificou Lopes.

O peso do grupo afetado

Ouro conceito que ficou em aberto na norma é o de “volume elevado”, ou seja, a partir de quantas pessoas atingidas por uma infração a ANPD vai considerar suficiente para classificar como grave, Lopes explica que “essa análise vai ter que ser feita no caso concreto, caso a caso”.

Como justificativa, o coordenador-geral de Fiscalização destaca que “o Brasil tem dimensões continentais” e ao definir um número, a exatidão poderia ser questionada nos processos.

“Não é que a gente não quis colocar o número, é que isso poderia acabar sendo irresponsável, uma vez que poderia afastar da atuação da ANPD só porque aquele número ainda não foi atingido ou só porque aquele número não bate com a realidade do nosso Brasil”, explicou Lopes.

Outro conceito sem detalhamento na norma é o de “larga escala”, caracterizado como “quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”. Ao comentar o tema, o coordenador-Geral de Normatização Substituto da ANPD, Rodrigo Santana, lembrou que a definição do termo está prevista na agenda regulatória da autarquia.

“Existe a previsão de um guia que vai tratar dessa questão do tratamento de alto risco. Nesse guia, que já está sendo estudado aqui pela equipe de projeto, a gente até fez uma consulta, sobre o que a sociedade e os especialistas entendem sobre esse tema, e isso está sendo analisado e estamos construindo uma minuta para tentar esclarecer o máximo esse ponto”.

“A gente vai tentar trazer, com alguns números, aquilo que a ANPD entende como uma larga escala um alto volume de dados. A intenção é essa”, disse Santana.

Acesse a íntegra da norma sobre sanções da ANPD neste link.

O post Proteção de dados: empresas mantêm papel de filtrar qual incidente de segurança é ‘relevante’ apareceu primeiro em TeleSíntese.

Você pode gostar também

Pessoas são 60% do sucesso da transformação digital, diz CPO da FICO

tutoriaisweb

Viasat tenta lançar hoje satélite de internet com maior capacidade do mundo

tutoriaisweb

Cibersegurança: Governo vai prorrogar e-Ciber por mais um ano

tutoriaisweb