*Artigo escrito por Bruna Pandini, advogada do escritório Oliveira Cardoso, Carvalho de Brito, Libardi Comarela e Zavarize Advogados
Essa é uma pergunta recorrente que as empresas costumam questionar quando diante de um de incidente de vazamento de dados em sua organização, seja envolvendo dados pessoais ou não.
Leia também
Em se tratando de dados pessoais, a Resolução nº 15 da ANPD disciplina inúmeras ações que devam ser seguidas para uma correta postura para amenizar os riscos e danos aos titulares dos seus dados vazados. Você sabe como agir?
Inicialmente, a Resolução estabelece um prazo de 03 (três) dias úteis para a organização dar ciência aos titulares dos dados pessoais. No entanto, o erro na grande maioria das vezes é a demora muito além do prazo legal.
Caso isso aconteça, para evitar que a empresa possa sofrer com uma infração material pelo descumprimento, é necessário que a ciência seja acompanhada da justificativa que levou ao atraso, a fim de demonstrar responsabilidade e organização da empresa, além de ser indicativo positivo na defesa administrativa, caso necessário.
Outro ponto que muitas organizações cometem, além do atraso, é não detalhar as medidas técnicas adotadas para mitigar os riscos, informar quais controles de segurança havia antes e quais ações foram realizadas para corrigir o incidente.
A resolução exige que as empresas prestem contas aos titulares das ações adotadas com seus dados, com informações dos planos de mitigação, prazos, reforço de segurança e até auditorias de fornecedores para demonstrar o plano de ação com medidas efetivas.
Além disso, compartilhar a causa raiz do incidente, uma vez confirmada, contribui para que o titular compreenda a gravidade da situação e perceba que há controle sobre o ocorrido. Omissão, por outro lado, gera desconfiança e pode sinalizar que a apuração ainda não foi concluída.
Contudo, o que se vê no mercado é a ilusão do risco zero ao titular. Em toda política de privacidade ou informativo o que mais se vê é a informação de que “seus dados estão seguros, não se preocupe”.
Entretanto, quando há um vazamento dos dados do titular, como nome, CPF, endereço, telefone, não faz jus o informado, além de dar o ar de desonestidade.
Logo, para evitar esse tipo de situações a lei exige a descrição honesta dos riscos e dos possíveis impactos, de modo a minimizar os danos e dar transparência de como os dados estão seguros.
Como ação positiva e boa prática, recomenda-se que a notificação ao titular de dados seja seguida de instruções para reverter ou minimizar efeitos, como solicitações de troca de senha, monitoramento das movimentações, ativação de verificação em duas etapas, além de outras que se fizerem necessárias.
Dessa forma, medidas simples são capazes de impedir novos golpes de engenharia social posteriores.
Essas e mais outras são algumas das ações que uma organização confiável e adequada à LGPD deve tomar diante de um incidente de vazamento.
Dar ao titular a segurança que seus dados estão seguros vai muito além de apenas criar uma política de privacidade no site. Inserir na estratégia da empresa um Programa de Governança de Privacidade e Segurança é o primeiro passo para uma gestão de incidentes correta e pontual.
