Migalhas

Segunda-feira, 24 de fevereiro de 2020

ISSN 1983-392X

A violação de dados pessoais e seus impactos sob a égide do Regulamento Europeu de Proteção de Dados (GDPR)

Mateus Mello Garrute e Estela Schmidt

A violação de dados pessoais é um incidente preocupante e que pode trazer consequências graves ao direito fundamental à proteção de dados pessoais, tais como uso indevido dos dados, fraude, danos materiais e comprometimento da reputação dos indivíduos.

sexta-feira, 24 de janeiro de 2020

t

Em novembro de 2018, uma das autoridades supervisoras da Alemanha (LfDI- Landesbeauftragte für den Datenschutz und die Informationsfreiheit, autoridade responsável pela proteção de dados e liberdade de informação em Baden-Württemberg) multou o aplicativo de mensagens Knuddels em 20 mil euros após uma violação que comprometeu os dados pessoais de aproximadamente 300 mil usuários. A causa foi a não utilização pela empresa de criptografia nos dados pessoais dos usuários, o que facilitou a violação.1 Mais recentemente -- em janeiro de 2020 --, a autoridade pública em matéria de proteção de dados do Reino Unido (Information Commissioner’s Office)  impôs uma multa de 500 mil libras em razão de um ataque cibernético que afetou, ao menos, dados de 14 milhões de pessoas, incluindo nomes, CEPs e endereços de e-mail.2

Episódios como esses e o comportamento das empresas em relação aos dados pessoais dos indivíduos geram uma preocupação maior sobre o tema, inclusive sobre a violação -- ou vazamento -- de dados. Neste contexto, novas legislações foram elaboradas e aperfeiçoadas com o objetivo de proteger a privacidade e os dados pessoais.

No Brasil, ainda aguardamos o início da vigência da Lei Geral de Proteção de Dados (LGPD, que entrará em vigor em agosto de 2020, podendo tal data ainda ser prorrogada para agosto de 2022, caso seja aprovado o projeto de lei 5762/19), de forma que ainda não há uma lei estruturada para regular a proteção de dados pessoais, inclusive no contexto de violação. Por outro lado, na União Europeia, o Regulamento Geral sobre a Proteção de Dados (mais conhecido pela sigla GDPR, do inglês General Data Protection Regulation) está em vigor desde 25 de maio de 2018 e possui um conjunto de direitos, obrigações e sanções para o caso de descumprimento de seus preceitos -- o que inclui a violação de dados.

Dessa forma, na seara do GDPR, como é tratado um caso de quebra de dados pessoais? O que pode o indivíduo afetado fazer? E, principalmente, como deve a pessoa jurídica responsável agir?

O que é violação de dados pessoais?

De acordo com o artigo 4(12) do GDPR, a violação de dados pessoais (ou personal data breach) consiste em uma infração da segurança que tenha por efeito a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, seja de modo acidental, seja de modo ilícito.

Por consequência, tanto o acesso não autorizado, quanto a divulgação não autorizada de dados como nome, endereço, e-mail, números de identificação pessoal e fiscal, informações bancárias, login, senha, identidade do usuário, informações relacionadas à saúde, preferência religiosa, política, além de outros dados sensíveis e não-sensíveis, podem ser enquadrados como violação de dados pessoais. Convém frisar que violação de dados é um gênero, enquanto que a divulgação e o acesso não autorizados são algumas de suas espécies.

Quais são os personagens envolvidos na violação de dados pessoais?

De modo geral, os sujeitos presentes no contexto de uma violação de dados pessoais, para o GDPR, são os seguintes:

  • indivíduo ou indivíduos afetados, os quais necessariamente devem ser pessoas naturais;
  • responsável pelo tratamento (data controller), ou seja, aquele que define o propósito e como os dados pessoais serão tratados;
  • subcontratante (data processor), o qual realiza o processamento de dados em nome do responsável pelo tratamento;
  • encarregado da proteção de dados (data protection officer), o qual, em determinadas circunstâncias, deve ser contratado e que possui uma série de funções relacionadas à proteção de dados pessoais;
  • autoridade supervisora, que deve fiscalizar a aplicação do regulamento europeu e que possui um conjunto de atribuições e poderes.

Conforme o direito europeu, tanto os responsáveis pelo tratamento quanto os subcontratantes possuem a obrigação de implementar medidas técnicas e organizacionais visando garantir um nível de segurança adequado ao risco relacionado à proteção de dados pessoais. Dentre essas medidas, podem ser destacadas as seguintes: (i) pseudonimização e criptografia de dados pessoais; (ii) capacidade de manter a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de tratamento de dados; (iii) restabelecimento da disponibilidade e acesso aos dados pessoais em caso de um incidente técnico ou físico; (iv) realização regular de testes e avaliações em relação à efetividade das medidas técnicas e organizacionais para garantir a segurança do tratamento dos dados.

Houve uma violação de dados pessoais, e agora?

No caso de uma violação de dados pessoais, o responsável pelo tratamento pode detectar tal falha por conta própria ou pode ser informado pelo indivíduo afetado pelo evento ou por outra fonte. De qualquer forma, como se verá adiante, o controller possui um tempo significativamente reduzido para agir.

O responsável deve informar a quebra à autoridade supervisora em até 72 (setenta e duas) horas após tomar conhecimento sobre a ocorrência. Tal notificação deve conter, ao menos, os seguintes elementos: descrição da natureza da violação, da categoria e do número de indivíduos e dados afetados; o contato do encarregado de proteção de dados ou da pessoa designada para lidar com o evento; as consequências prováveis da violação e as medidas adotadas ou propostas para conduzir o caso, o que pode incluir medidas para mitigar os possíveis efeitos adversos da violação dos dados pessoais.

Convém pontuar que o responsável pelo tratamento deve fornecer o máximo de informações possível dentro do referido prazo. Se isso não for viável, ele deve, em tempo razoável, notificar a violação à autoridade competente, incluindo os motivos que ocasionaram o atraso. Além disso, a empresa/organização deve registrar os fatos relativos aos incidentes de segurança, seus efeitos e as medidas adotadas.

É importante esclarecer que o dever de notificar está atrelado ao responsável pelo tratamento dos dados. Todavia, o subcontratante deve notificá-lo de forma rápida, assim que souber da ocorrência da violação.

O GDPR oferece uma exceção ao dever de notificação: caso o responsável pelo tratamento consiga demonstrar que os riscos aos direitos e liberdades dos indivíduos são improváveis, não haverá a necessidade de notificar a autoridade supervisora sobre a quebra.

Ademais, o GDPR também contém normas relacionadas à comunicação com os indivíduos afetados. Entretanto, esse dever não se aplica a todos os casos de violação, mas apenas aos que possam resultar em um alto risco aos direitos e liberdades das pessoas naturais. Mesmo nesses casos, a comunicação pode deixar de ser obrigatória em determinadas circunstâncias.

Se o responsável deixar de cumprir o dever de notificar ou o princípio da integridade e confidencialidade, o indivíduo pode apresentar uma reclamação diretamente à autoridade supervisora. Além disso, ele ainda pode optar pela via judicial, seja contra o responsável pelo tratamento ou o subcontratante, seja contra a autoridade supervisora, caso ela não informe o indivíduo sobre o acompanhamento ou resultado da reclamação no prazo de três meses ou ela não promova o andamento do procedimento.

E o que a autoridade supervisora pode fazer diante de uma violação dos dados pessoais?

Caso haja violação de dados pessoais, a depender das circunstâncias relacionadas ao evento e conforme as infrações dos preceitos do GDPR, a autoridade supervisora pode aplicar sanções, inclusive a imposição de multas, as quais devem, em cada caso, ser efetivas, proporcionais e dissuasivas. Essas penalidades são mensuradas de acordo com vários critérios, tais como o grau da infração e seus impactos; as medidas adotadas para a mitigação dos danos sofridos pelos indivíduos; a conduta e o grau de responsabilidade do controller e processor diante das circunstâncias.

É importante destacar que as multas relacionadas à violação de dados pessoais podem alcançar o importe de 10 milhões de euros ou 2% do volume de negócios anual, o que for maior.

Considerações finais

A violação de dados pessoais é um incidente preocupante e que pode trazer consequências graves ao direito fundamental à proteção de dados pessoais, tais como uso indevido dos dados, fraude, danos materiais e comprometimento da reputação dos indivíduos.

Considerando que o GDPR possui efeito extraterritorial - isto é, ele também pode alcançar empresas que não estejam estabelecidas na União Europeia e no Espaço Econômico Europeu,3 é de fundamental importância que as figuras envolvidas no tratamento de dados - seja como subcontratante, seja como responsável pelo tratamento - tenham agilidade e observem o GDPR em caso de violação de dados pessoais. Como explicado anteriormente, a autoridade supervisora deve ser informada o quanto antes e deve receber o maior número de informações possível sobre o ocorrido.

Portanto, é fundamental que os responsáveis e os subcontratantes, mesmo que não estabelecidos na Europa, realizem um diagnóstico para verificar se o GDPR é aplicável ao processamento de dados. Em caso positivo, eles devem observar atentamente e respeitar suas normas, princípios e padrões - inclusive os referentes à segurança dos dados -, adotar controles e medidas eficazes relacionados à proteção de informações pessoais e cumprir com o dever de notificar e comunicar em caso de violação dos dados pessoais.

__________

1 Irwin (2018).

2 “National retailer fined half a million pounds for failing to secure information of at least 14 million people” (2020)

3 “GDPR-Extraterritorial applicability | Deloitte Switzerland” (2017).

Clique aqui.

Clique aqui.

Clique aqui.

Clique aqui.

EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS AND COUNCIL OF EUROPE. Handbook on European data protection law: 2018 edition. Publications Office Of The European Union, 2018. 397 p.

__________

*Mateus Mello Garrute é advogado especialista em proteção de dados pessoais, mestre em direito processual pela UFES, LL.M. em direito europeu e transnacional da propriedade intelectual e da informação tecnológica pela Universidade de Göttingen (Alemanha), certificado pela International Association of Privacy Professionals (CIPP/E) e membro da European Association of Data Protection Professionals (EADPP).

*Estela Schmidt é advogada, LL.M. em direito europeu e transnacional da propriedade intelectual e da informação tecnológica pela Universidade de Göttingen (Alemanha) e bacharel em Direito pela Universidade Presbiteriana Mackenzie.

t

 

-