Blog

LGPD: Compreendendo suas Definições sobre Titulares de Dados, Violações e Notificações

Thumbnail
O LGPD lista diversos controles e atividades importantes relacionados a titulares de dados e dados pessoais; incluindo a Notificação de Violação de Dados e uma posição exigida, Diretor de Proteção de Dados.

No primeiro blog desta série, nós apresentamos o GDPR e exploramos o impacto que este deverá ter sobre as empresas de todo o mundo. Amplamente considerado como um dos mais rigorosos regulamentos governamentais sobre privacidade, o GDPR descreve a forma de uso aceitável de dados pessoais pelas organizações, como estas devem estruturar suas abordagens de gerenciamento de dados pessoais e as multas (ou riscos) pela proteção inadequada de dados pessoais. O LGPD brasileiro é baseado nesse controle estabelecido na União Européia. As multas podem ser expressivas, chegando a 2% da receita global (isso será abordado mais aprofundadamente em um futuro post).

O LGPD é a primeira lei sobre privacidade de dados do Brasil a definir explicitamente o que é uma “violação de dados pessoais” e a exigir que seja feita uma notificação quando isto ocorrer. “Dados pessoais” são definidos no LGPD como “informação relacionada a pessoa natural identificada ou identificável; (Art 5 Inc. I)”. Notavelmente, não existe um conjunto específico de informações (ou campos de dados) que definam um titular de dados. Do próprio texto:

“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (Art 5 Inc. II)”

Ao listar campos comuns, a parte crucial desta definição indica que os dados relevantes são aqueles que podem ser utilizados para identificar (por qualquer meio) um indivíduo específico. Para dar um exemplo:

identity

O primeiro exemplo contém claramente informação suficiente para identificar um titular de dados. No entanto, o segundo também poderia conter – mesmo que não conste o nome do titular de dados, sua idade ou sexo está presente, isso pode ser considerado um dado pessoal caso seja suficiente para identificar um indivíduo. Por exemplo, uma organização pode ter apenas um único jovem de 23 anos ou um único homem em um escritório. Portanto, o conjunto de dados considerados controlados pelo LGPD é um pouco mais amplo do que inicialmente esperado. Esse desafio se expande pois frequentemente os dados de usuário podem abranger diferentes tabelas (ou bancos de dados). Quando tratarmos da pseudonimização dos dados, revisaremos o que precisa ser descoberto e tornado anônimo e os desafios para fazê-lo.mization we’ll revisit what needs to be discovered and anonymized and the challenges with doing so.

O LGPD lista diversos controles e atividades importantes relacionados a titulares de dados e dados pessoais. Os dois primeiros são a Notificação de Violação de Dados e uma posição exigida, Diretor de Proteção de Dados.

Notificação de Violação de Dados

Resumidamente, o LGPD exige que as organizações que sofram uma violação de dados o relatem o mais rápido possível.

Mais detalhadamente, sob o LGPD, uma “violação de dados pessoais” é “...ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)”. Salienta-se que esta definição de dados pessoais é conforme exposto acima – qualquer coisa que possa levar à identificação de uma única pessoa ou mais.

No caso de uma violação de dados pessoais, as organizações devem notificar a autoridade supervisora. O LGPD define dois conceitos diferentes que normalmente (mas nem sempre) se referem a organizações – Controlador de Dados (ou controlador) e Operador de Dados (ou operador).

  • O Controlador de Dados é a entidade (na maioria dos casos, uma organização, mas às vezes uma pessoa) que direciona o motivo pelo qual os dados pessoais são processados em primeiro lugar. Por exemplo, uma empresa de compartilhamento de caronas deseja analisar os padrões de uso de seus usuários para melhor alocar os motoristas. Observe que a entidade que é o controlador não precisa necessariamente ser a mesma que analisa/opera os dados.
  • O Operador de Dados é a entidade (novamente: pessoa, organização, etc.) que de fato realiza o processamento ou a análise de dados. Por exemplo, os bancos frequentemente terceirizam sua análise de fraude, caso em que o banco é o controlador (direcionando o que é feito com os dados) e o terceiro é o operador (quem de fato realiza a análise).

Em caso de violação, a organização (provavelmente sob a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais, abrangido em uma futura postagem no blog) deve notificar a autoridade supervisora do estado membro em que o controlador de dados possui seu estabelecimento principal e os titulares de dados afetados. Ou seja, se uma organização está baseada e possui a maioria dos seus clientes no Brasil, a notificação deve ser enviada para a Autoridade Nacional de Proteção de Dados (ANPD). O Capitulo IX do LGPD abrange a criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Veremos como isso funciona na prática, à medida que a lei entrar em vigor.

A notificação deve ser oferecida “... será feita em prazo razoável, conforme definido pela autoridade nacional (Art. 48)”. Para aqueles familiarizados com a recente violação da Equifax, a organização aguardou seis semanas antes de anunciar o fato publicamente. Essa demora no anúncio parece ter apenas agravado a situação: os executivos tiveram tempo para vender ações da empresa e o público foi impedido de tomar medidas para proteger suas identidades.

A notificação à autoridade supervisora deve incluir “no minimo” o seguinte (Art 48):

  1. a descrição da natureza dos dados pessoais afetados;

  2. as informações sobre os titulares envolvidos;

  3. a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  4. os riscos relacionados ao incidente;
  5. os motivos da demora, no caso de a comunicação não ter sido imediata; e

  6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

O LGPD prevê algumas regras de boas práticas ao requisito adicional de notificar os titulares de dados sobre uma violação de dados pessoais:

  1. demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
     
  2. seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
     
  3. seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  4. estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

  5. tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

  6. esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

  7. conte com planos de resposta a incidentes e remediação; e

  8. seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas


A conformidade com os requisitos de notificação de violação, conforme acima exposto, é apenas parte do espírito do regulamento. Efetivamente, isso requer duas outras etapas: avaliar quais dados uma organização possui que são considerados “dados pessoais” e entender se uma violação ocorreu, em primeiro lugar. A segunda etapa está além de nossa área de especialização, mas em futuras postagens no blog retornaremos a tratar de dados pessoais, como identificá-los e que medidas podem ser tomadas para reduzir o risco/penalidade de uma violação.

Ao final, no entanto, o maior fator motivador para a compreensão desses requisitos se resume às possíveis penalidades. “multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração (Art 52 Inc. II)”. As implicações, no entanto, vão mais longe. As organizações não apenas devem garantir a proteção dos dados dos indivíduos, mas, além disso, devem instituir mudanças organizacionais para que todos os colaboradores entendam verdadeiramente o que está coberto e como, em suas operações diárias, eles podem agir de acordo com o interesse dos titulares de dados.

Não perca a próxima semana quando nos aprofundaremos nas funções necessárias e no processo de descoberta!

Tags