Especialista em direito para startups do Lage&Oliveira Advogados

Os incidentes de segurança com dados pessoais estão se tornando um momento que demanda muita atenção para as empresas, sendo que o desconhecimento sobre como agir quando essa situação ocorre pode levar à aplicação de multas. Eles incluem não apenas os famosos vazamentos de dados pessoais, mas também situações como o acesso não autorizado, alterações nos dados ou mesmo a perda dessas informações.

Além disso, apesar de ainda não ter aplicado nenhuma multa, a Autoridade Nacional de Proteção de Dados (ANPD) recentemente divulgou que a aplicação de multas poderá acontecer de forma retroativa, ou seja, casos poderão ser reavaliados no futuro e sujeitos a aplicação de multa.

É importante ressaltar que, desde agosto de 2021, ANPD e outros órgãos de fiscalização podem aplicar as sanções administrativas previstas na Lei Geral de Proteção de Dados, que variam desde uma simples advertência até a aplicação de multas que podem chegar a até R$ 50 milhões, além da proibição do tratamento de dados pessoais pela empresa.

No caso ocorram incidentes de segurança que causem riscos e danos aos titulares dos dados pessoais, a orientação é que a empresa faça a comunicação formal do ocorrido à ANPD. Entre eles, estão questões com dados de vulneráveis, como crianças e idosos; envolvendo dados sensíveis com potencial de gerar danos morais ou materiais - como discriminação ou violação da reputação, e informações financeiras críticas, como senhas de cartões, valor de remuneração ou dados do imposto de renda, sempre devem ser reportadas.

Apesar da LGPD mencionar apenas ‘prazo razoável’, a ANPD recomenda que os incidentes devam ser comunicados em até 2 dias úteis, sendo o cumprimento desse prazo a demonstração de boa-fé e transparência. Essa comunicação deve ser feita por meio de peticionamento eletrônico via sistema SEI, do governo federal. Para sua utilização, é necessário um cadastro prévio, que pode demorar até 3 dias úteis para ser aprovado. Sendo assim, todas as empresas que atuam no tratamento de dados pessoais devem estar em dia com esse cadastro.

Pode ser realizada a comunicação parcial inicial, para fins de transparência e boa-fé, tendo em vista que, após a comunicação inicial, a empresa tem até 30 dias para complementar as informações quanto ao ocorrido. A Autoridade Nacional de Proteção de Dados, ao analisar casos de incidentes de segurança com dados pessoais tem, por praxe, levar em conta a conduta da organização perante os preceitos da Lei Geral de Proteção de Dados.

Por isso, é fundamental que a companhia demonstre seu esforço para se adequar à LGPD, incluindo medidas como o conhecimento do fluxo de dados, treinamentos internos, aplicação de medidas técnicas para assegurar a proteção dos dados pessoais, nomeação do Encarregado pelo Tratamento de Dados, quando cabível, e implementação de uma governança em proteção de dados pessoais. Tais ações podem levar a sanções mais brandas caso ocorram esses incidentes, caso o incidente seja objeto de penalidade.

A notificação de um incidente à ANPD é um momento de suma importância para as organizações, que não deve ser negligenciado ou tratado com menos relevância. E é preciso reforçar que as estratégias corretas na comunicação do fato serão preponderantes para as futuras etapas jurídicas e administrativas que a empresa terá que enfrentar.

Sobre a Lage & Oliveira Advogados

Fundada pelos advogados Lorena Lage e Robert Oliveira, o escritório atua como preventivo jurídico, realizando uma imersão em todos os detalhes da empresa, para trabalhar de dentro para fora a estruturação de negócios inovadores.

------------------------------------------------------------------------------------
Segs.com.br valoriza o consumidor, o corretor, os corretores e as corretoras de seguros