Aconteceu um incidente de segurança com dados pessoais em minha empresa: o que devo saber e fazer?

Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, ação acidental ou ilícita que resulte na destruição, perda, alteração, vazamento de dados pessoais que estão sob sua guarda, ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.A Lei Geral de Proteção de Dados estabelece que os agentes de tratamento de dados pessoais  (Controladores e Operadores) devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de ações que possam expô-los a qualquer situação de risco.

Diversas ferramentas físicas e digitais e técnicas administrativas devem ser utilizadas para mitigar os riscos e efeitos de incidentes de segurança, como por exemplo, senhas fortes, anonimização ou pseudonimização dos dados, criptografia, minimização dos dados coletados, atualização constante dos aplicativos, ferramentas técnicas de segurança, dentre outros.O vazamento de dados pessoais, um dos mais conhecidos incidentes de segurança, ocorre quando dados são indevidamente acessados, coletados e divulgados ou repassados a terceiros.

O dano ao titular destes dados pessoais pode ser das mais diversas naturezas, como fraudes, tentativas de golpes, uso indevido dos dados, venda dos dados a sites não confiáveis, etc.

É importante esclarecer que é uma obrigação do Controlador (empresa que trata os dados pessoais) comunicar à Autoridade Nacional de Proteção de Dados (ANPD) sempre que acontecer um incidente de segurança que envolva dados pessoais e que possa acarretar risco ou dano relevante aos titulares. 

O que uma organização deve fazer em caso de um incidente de segurança com dados pessoais?- Identificar e avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados pessoais afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.  Este trabalho deve ser feito pelo Comitê de Privacidade em conjunto com o Encarregado de dados pessoais (DPO); 

- Comunicar ao Controlador, se a empresa onde ocorreu o vazamento de dados for o Operador, nos termos da LGPD; 

- Comunicar à ANPD e aos titulares de dados, em caso de risco ou dano relevante aos titulares; e 

- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.Deve-se ressaltar que , sempre necessário que os controladores que tratam dados pessoais adotem posição de cautela, de modo que a comunicação de incidentes de segurança seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.