Proteção de dados: empresas mantêm papel de filtrar qual incidente de segurança é ‘relevante’

'Em princípio, quem tem que avaliar se é dano relevante ou não é a empresa, mas a gente [ANPD] pode pensar também nos impactos significativos sobre os titulares', diz técnico da ANPD sobre falta de definição do termo em regulamento da autarquia
Proteção de Dados: definição prévia de 'relevância' dos incidentes caberá às empresas
Sem definição expressa em norma sobre multas a quem violar proteção de dados, conceito de ‘dano relevante’ gera debate (Crédito: Freepik)

Técnicos da Autoridade Nacional de Proteção de Dados (ANPD) explicaram nesta quarta-feira, 1º, um dos principais pontos questionados por especialistas sobre a norma que define as punições a quem violar a Lei Geral de Proteção de Dados – LGPD – (regulamento de dosimetria). Trata-se do quê exatamente a autarquia vai entender como um “dano relevante”, que envolve um dos critérios para definir o grau da violação e, desta forma, o peso da punição.

O coordenador-geral de Fiscalização da ANPD lembra que o termo “dano relevante” é mencionado na LGPD, quando diz que o controlador de dados, empresa ou agente de tratamento (ou seja, quem obtém os dados), deverá comunicar à autoridade nacional e também à pessoa que teve a informação violada sobre a ocorrência de “incidente de segurança” (invasão à base, alteração, vazamento ou perda das informações) que possa acarretar “risco ou dano relevante” aos titulares (Art. 48).

“Em princípio, quem tem que avaliar se é dano relevante ou não é a empresa que está contratando os dados pessoais que sofreram o incidente, mas a gente [ANPD] pode pensar também nos impactos significativos sobre os titulares”, diz Lopes.

O técnico da autarquia explica que a LGPD dá “indícios” de que o dano relevante são aqueles que afetam os direitos e garantias fundamentais. “A própria lei, em vários momentos da sua redação, remete a isso, de que você tem que analisar os riscos de impactos sobre os direitos e garantias fundamentais do titular. Para nós, a ideia de ‘dano considerável’ [ou dano relevante] significa e a Lei nos deu indícios de que é quando você vai afetar um direito ou garantias fundamentais”.

Exemplificando, Lopes cita casos que envolvem direitos e garantias fundamentais e que podem ser considerados relevantes. “Nós podemos pensar até mesmo no direito à vida dessa pessoa, o que vai revelar certas informações ou tratar certas informações que podem pôr em risco a vida dessa pessoa; ou eventualmente pode impedir que ela entre em determinados lugares ou faça certas coisas do cotidiano que todos nós estamos acostumados a fazer”.

Especialistas ouvidos pelo Tele.Síntese questionam o fato de violações a direitos fundamentais estarem previstos como possíveis infrações “médias” na norma que define as punições da ANPD. Casos de quebra de sigilo bancário, por exemplo, é um dos incidentes citados pelo coordenador-geral de Fiscalização da ANPD entre aqueles que podem vir a ser considerados “menos gravoso”, apesar de ter um impacto considerável.

“Também tem coisas que eu digo que seriam menos gravosas, como por exemplo, de certa forma aquela pessoa teve o sigilo bancário violado e aí ela foi vítima de fraude. Também é um dano considerável ao titular, o impacto financeiro é algo considerável. O impacto também pode acontecer numa exposição dessa pessoa de tal maneira que ela sofra um constrangimento da sociedade ou uma recriminação por sua conduta ou uma peculiaridade sua…”, exemplificou Lopes.

Cabe lembrar que além dos incidentes que, por lei, devem ser informados à ANPD por parte das empresas que fazem tratamento de dados, qualquer pessoa pode fazer denúncias por meio de peticionamento eletrônico.

O peso do grupo afetado

Ouro conceito que ficou em aberto na norma é o de “volume elevado”, ou seja, a partir de quantas pessoas atingidas por uma infração a ANPD vai considerar suficiente para classificar como grave, Lopes explica que “essa análise vai ter que ser feita no caso concreto, caso a caso”.

Como justificativa, o coordenador-geral de Fiscalização destaca que “o Brasil tem dimensões continentais” e ao definir um número, a exatidão poderia ser questionada nos processos.

“Não é que a gente não quis colocar o número, é que isso poderia acabar sendo irresponsável, uma vez que poderia afastar da atuação da ANPD só porque aquele número ainda não foi atingido ou só porque aquele número não bate com a realidade do nosso Brasil”, explicou Lopes.

Outro conceito sem detalhamento na norma é o de “larga escala”, caracterizado como “quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”. Ao comentar o tema, o coordenador-Geral de Normatização Substituto da ANPD, Rodrigo Santana, lembrou que a definição do termo está prevista na agenda regulatória da autarquia.

“Existe a previsão de um guia que vai tratar dessa questão do tratamento de alto risco. Nesse guia, que já está sendo estudado aqui pela equipe de projeto, a gente até fez uma consulta, sobre o que a sociedade e os especialistas entendem sobre esse tema, e isso está sendo analisado e estamos construindo uma minuta para tentar esclarecer o máximo esse ponto”.

“A gente vai tentar trazer, com alguns números, aquilo que a ANPD entende como uma larga escala um alto volume de dados. A intenção é essa”, disse Santana.

Acesse a íntegra da norma sobre sanções da ANPD neste link.

Avatar photo

Carolina Cruz

Repórter com trajetória em redações da Rede Globo e Grupo Cofina. Atualmente na cobertura de telecom nos Três Poderes, em Brasília, e da inovação, onde ela estiver.

Artigos: 1172