Em abril de 2024, a Autoridade Nacional de Proteção de Dados ("ANPD" publicou a Resolução CD/ANPD nº 15, que aprovou o Regulamento de Comunicação de Incidente de Segurança, com o objetivo de regulamentar a obrigação de reportar violações à privacidade.
Segundo a Resolução, incidente de segurança envolve qualquer evento adverso confirmado relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.
De acordo com a regulação vigente, a comunicação de incidente de segurança é o ato do controlador que comunica à ANPD e ao titular de dados a ocorrência de incidente que possa acarretar risco ou dano relevante aos titulares. Os principais objetivos do Regulamento envolvem a proteção dos direitos dos titulares e assegurar a adoção das medidas necessárias para mitigar ou reverter os efeitos dos prejuízos gerados, com foco na responsabilização e prestação de contas pelos agentes de tratamento.
Desde então, nota-se um incremento dos relatos de incidentes de segurança.
Talvez o relato mais atual seja o da Cooperativa Sicoob, através de um ataque de Ransomware1, que pode ter permitido acesso a mais de 1 TB de dados da empresa. Dentre os arquivos supostamente vazados estão Acordos de Não Divulgação (AN-D), informações pessoais de clientes e funcionários, dados e balanços financeiros de empresas. Neste caso específico, não somente o volume de dados atingidos causa preocupação, mas também seu conteúdo sensível e a potencialidade de danos aos titulares.
Outra empresa de porte também sofreu recentemente com incidentes de segurança, agora a Ticketmaster2. De acordo com a própria empresa, o vazamento de dados pode ter exposto 560 milhões de clientes.
É muito interessante o trabalho desenvolvido pelo Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados3, que relaciona os maiores incidentes de segurança relatados globalmente. Há uma tendência global de crescimento nos incidentes de segurança cibernética, um fenômeno que não passa despercebido no contexto brasileiro.
A complexidade e a sofisticação dos ataques têm exigido respostas cada vez mais robustas por parte das empresas e autoridades governamentais, visando mitigar os impactos e proteger a integridade das informações sensíveis.
É pertinente refletir se o aumento no número de relatos de incidentes de segurança guarda relação com a atual regulamentação estabelecida pela ANPD. Avaliar se as atuais diretrizes são suficientes para garantir uma resposta eficaz frente aos desafios emergentes da segurança digital é fundamental para fortalecer a proteção dos dados pessoais dos titulares e a segurança das informações corporativas no ambiente digital.
É evidente que a publicização de um incidente de segurança é medida atenuante na dosimetria das penalidades, a teor do § 1º do artigo 52 da LGPD.
Entretanto, ainda é prematuro afirmar que o aumento na quantidade de relatos de incidentes de segurança guarda uma relação direta e inequívoca com a normativa atualmente vigente.
Primeiro porque existe uma percepção de baixa fiscalização efetiva por parte da Autoridade Nacional de Proteção de Dados (ANPD). A ANPD enfrenta desafios significativos na capacidade de fiscalizar e aplicar as normas de maneira abrangente e consistente em todo o território nacional. Isso pode impactar na conformidade das empresas com as obrigações de proteção de dados e na qualidade dos relatórios de incidentes de segurança submetidos. É necessário um fortalecimento institucional da ANPD, mediante a alocação de recursos e capacitação técnica, para que possa desempenhar seu papel de forma mais eficaz e assegurar a proteção de dados.
Em segundo lugar, diversos fatores podem influenciar o aumento dos incidentes reportados, tais como o aumento da conscientização das empresas e usuários sobre a importância da segurança cibernética e a evolução das práticas de detecção e notificação de violações de dados.
Neste momento, é necessário um acompanhamento contínuo e análises mais aprofundadas para determinar em que medida a regulamentação atual tem contribuído para mitigar ou influenciar o panorama dos incidentes de segurança no país.
A Resolução CD/ANPD nº 15 representou um passo importante ao estabelecer diretrizes claras para a comunicação de incidentes de segurança, visando proteger os direitos dos titulares e promover a responsabilização das organizações. Contudo, a eficácia da regulamentação ainda enfrenta obstáculos, como a baixa fiscalização e a necessidade contínua de adaptação às novas técnicas de ataque digital. Neste momento, é crucial um esforço contínuo para fortalecer a implementação da LGPD, garantindo assim uma
proteção mais robusta dos dados pessoais dos brasileiros frente aos desafios emergentes da era digital.
Henrique Zalaf é sócio do Castrese, Bedin, Paladino e Zalaf Advogados. É formado há mais de 20 anos, com experiência tanto na carreira docente quanto acadêmica. Lecionou aulas de direito processual civil na Proordem Campinas e na Faculdade UNITÁ. O advogado é mestre em Direito dos Negócios pela Fundação Getulio Vargas e especialista em Direito Administrativo pela PUC-SP - Pontifícia Universidade Católica de São Paulo, além de contar com artigos e livros publicados em diversas áreas do direito.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.