A Autoridade Nacional de Proteção de Dados (ANPD) está em fase final de consolidação de uma norma de comunicação de incidentes de segurança com dados pessoais. No Congresso de Direito Digital, Tecnologia e Proteção de Dados, realizado na última segunda-feira (18/9) em São Paulo, o coronel Arthur Pereira Sabbat, diretor do Conselho Diretor da autoridade, disse que a norma deve ser publicada ainda neste ano. Em março, a ANPD abriu uma consulta pública sobre o tema.

“Essa norma vai trazer dois grandes aspectos. Primeiro, vai definir o prazo para comunicação de incidente à autoridade a partir do momento que o controlador toma ciência disso. Segundo, vai trazer os parâmetros que vão determinar o que significa risco ou dano relevante”, afirmou o diretor da ANPD. O objetivo é que não haja dúvidas na interpretação do controlador sobre quais incidentes devem ser reportados e em quanto tempo.

Segundo ele, a ANPD vive uma fase de construção da fundação das regras que vão nortear a aplicação da Lei Geral de Proteção de Dados (LGPD). “A lei deixou cerca de 60 temas para a ANDP regulamentar. Primeiro a gente constrói aquilo que é transversal a todos os setores e depois a gente parte para regulamentar setor a setor”, disse Sabbat.

O diretor também falou sobre os problemas que vê no cumprimento da LGPD. Segundo ele, muitas empresas, independentemente do tamanho, têm iniciativas boas, mas que são fragmentadas entre as áreas internas. “Isso corrobora para a falta de compliance, para problemas de adequação e de cumprimento da lei. Isso só se resolve com a adoção de programas de governança top down, não tem jeito”, disse o coronel.

Sabbat também destacou que as empresas, muitas vezes, falham em elaborar medidas de segurança da informação que sejam bem integradas em várias frentes: administrativas, técnicas e até físicas. Sem isso, o diretor acredita que as empresas se vulnerabilizam e correm mais risco de terem dados vazados.

Incidentes de segurança

Em casos concretos de vazamento de dados, os especialistas presentes no evento defenderam que a transparência é a melhor saída. Andrea Thomé, consultora de segurança da informação, governança, riscos e compliance, disse que sempre defende para as empresas clientes a importância de ser transparente e colocar os titulares de dados afetados no centro das preocupações.

“Algumas empresas querem esconder a ocorrência do incidente. Nesses casos, somos mais duros e explicamos que a transparência protege as pessoas e, consequentemente, garante que a autoridade olhe com um olhar mais positivo à resposta que foi dada pela empresa”, diz.

Fabrício Madruga Lopes, coordenador-geral de fiscalização da ANPD, ressaltou que nem todos os incidentes que forem comunicados à autoridade irão resultar em uma sanção. Inclusive, a primeira sanção imposta pela ANPD aconteceu somente em julho deste ano, quase três anos depois que a lei entrou em vigor. Na ocasião, uma empresa de telemarketing recebeu uma advertência e uma multa de R$ 14,4 mil por ausência de base legal para tratamento de dados e por não colaborar com a autoridade.

O coordenador diz que a ANPD tenta chegar a um ponto de equilíbrio com as sanções. O desafio é fazer com que as comunicações de incidentes incomodem o suficiente para que as empresas adotem estratégias para evitar que os vazamentos aconteçam, mas não a ponto de inibir a comunicação deles à autoridade.

Em casos em que não está claro se os dados foram vazados ou não, Lopes defende que os operadores façam uma avaliação do risco antes de comunicar aos titulares e à ANPD. Ele cita o vazamento de uma lista de proteção a testemunhas como exemplo de situação em que os envolvidos e a autoridade precisam ser notificados quanto antes. “Se o risco for de morte, é preciso contar logo”, diz.

Quando não existe risco de segurança iminente, o coordenador defende que a empresa faça uma análise detalhada do incidente antes de acionar a ANPD e os titulares.

Fonte: JOTA