Em uma realidade na qual informações pessoais são coletadas, armazenadas e processadas em larga escala, garantir segurança e sigilo de dados tornou-se uma necessidade essencial, a ponto de requerer proteção legal.
A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes específicas para que agentes de tratamento adotem medidas eficazes de proteção, prevenindo acessos não autorizados, vazamentos e outras violações.
Os arts. 46 a 49 da LGPD determinam obrigações específicas para controladores e operadores, impondo a implementação de medidas técnicas e administrativas capazes de proteger os dados contra incidentes.
Além disso, estabelecem o dever de sigilo, a necessidade de notificação em casos de vazamento e a importância das boas práticas de governança para garantir a conformidade com a legislação.
Neste texto, exploraremos as exigências legais sobre segurança e sigilo de dados, as melhores estratégias para proteção da informação e as consequências para aqueles que não cumprem as normas. Veremos os seguintes tópicos:
- Fundamentos de segurança e sigilo de dados na LGPD
- Medidas técnicas e administrativas para segurança e sigilo de dados pessoais
- Penalidades para o descumprimento de medidas de segurança e sigilo de dados
Comecemos pelos fundamentos.
Fundamentos de segurança e sigilo de dados na LGPD
O art. 46 da LGPD impõe a obrigação de implementação de medidas técnicas e administrativas eficazes para garantir a proteção dos dados pessoais contra incidentes que possam comprometer sua integridade, confidencialidade ou disponibilidade.
A legislação exige que, desde a concepção de um produto ou serviço, os agentes de tratamento (controlador e operador) adotem soluções de segurança e sigilo de dados adequadas ao risco envolvido, tais como criptografia, anonimização, controle de acessos e auditorias regulares. Essa medida é conhecida no mercado como privacy by default.
A literalidade do dispositivo é a seguinte:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A finalidade desse dispositivo é reduzir a vulnerabilidade dos sistemas de armazenamento e processamento de dados, prevenindo tanto ataques cibernéticos quanto acessos indevidos por parte de agentes internos.
O texto legal diz ainda que a Autoridade Nacional de Proteção de Dados (ANPD) pode dispor sobre padrões técnicos mínimos para tornar o art. 46 aplicável na prática, considerando a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis. O texto reforça que sejam obedecidos os princípios da LGPD dispostos no art. 6º.
Segurança após o término do tratamento
O art. 47 reforça a necessidade de segurança e sigilo de dados pessoais mesmo após o fim do tratamento, impondo aos agentes o dever de boa-fé e confidencialidade no manuseio dessas informações.
Essa disposição está alinhada com os princípios da transparência e da minimização do tratamento de dados, previstos na LGPD, e visa garantir que os dados pessoais sejam acessados e utilizados apenas para finalidades legítimas e previamente estabelecidas.
Dever de comunicação de incidentes por parte do controlador
A legislação também determina a obrigatoriedade da comunicação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
Assim, em casos de vazamento ou comprometimento da integridade dos dados, o controlador deve notificar a ANPD e os titulares afetados, informando, no mínimo:
- a descrição da natureza dos dados pessoais afetados;
- as informações sobre os titulares envolvidos;
- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- os riscos relacionados ao incidente;
- os motivos da demora, no caso de a comunicação não ter sido imediata; e
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
O descumprimento desse dever de comunicação pode sujeitar o controlador a penalidades administrativas, além de potenciais danos à reputação da organização.
Dever da ANPD de determinar adoção de providências
Se por um lado o controlador tem o dever de comunicação do incidente, por outro lado a ANPD tem o dever de verificar a gravidade do caso e, se necessário para salvaguardar os direitos dos titulares, de determinar ao controlador algumas providências.
O § 2º do art. 48 lista expressamente apenas duas providências:
- ampla divulgação do fato em meios de comunicação; e
- medidas para reverter ou mitigar os efeitos do incidente.
A leitura mais correta, no entanto, é que se trata de um rol apenas exemplificativo, que não impediria a ANPD de determinar outras providências que se mostrem necessárias no caso concreto.
Ao analisar a gravidade do incidente, a ANPD deve avaliar “eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los”.
Privacy by design
O art. 49 da LGPD encerra a seção de segurança e sigilo de dados dispondo sobre a importância da adoção de boas práticas e medidas de governança para garantir a conformidade com a lei.
O artigo dispõe que “os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.
A norma incentiva as organizações a desenvolverem políticas internas de segurança da informação, implementarem protocolos para resposta a incidentes, realizarem auditorias regulares e capacitarem seus funcionários sobre a importância da proteção de dados.
A adoção de um programa estruturado de governança em privacidade contribui para a mitigação de riscos e para o fortalecimento da cultura de proteção de dados dentro das instituições.
Medidas técnicas e administrativas para segurança e sigilo de dados pessoais
A segurança dos dados pessoais exige a adoção de medidas técnicas e administrativas que garantam a integridade, confidencialidade e disponibilidade das informações.
A LGPD, por meio do art. 46, determina que os agentes de tratamento devem implementar mecanismos adequados para evitar acessos não autorizados e outros incidentes de segurança que possam comprometer os direitos dos titulares.
Medidas Técnicas
As medidas técnicas referem-se ao uso de tecnologias e ferramentas voltadas para a segurança da informação. Entre os principais mecanismos utilizados, destacam-se a criptografia e a anonimização de dados, que reduzem o risco de exposição indevida das informações.
A criptografia permite que os dados sejam armazenados e transmitidos de forma segura, buscando garantir que apenas usuários autorizados tenham acesso ao seu conteúdo.
Já a anonimização, ao tornar os dados de difícil reversão para identificação de um indivíduo, minimiza os riscos de privacidade em caso de incidentes de segurança.
Além disso, a adoção de sistemas de controle de acesso, como autenticação multifator, limita a possibilidade de uso indevido das informações por agentes internos e externos.
Outro aspecto relevante envolve a implementação de firewalls e softwares de detecção de intrusões, que atuam na prevenção de ataques cibernéticos.
A realização de auditorias periódicas e testes de segurança, como os testes de penetração (penetration testing), também são práticas recomendadas para a identificação de falhas e pontos de melhoria na infraestrutura de proteção de dados.
Medidas Administrativas
As medidas administrativas, por sua vez, dizem respeito à estruturação de políticas e processos internos voltados à governança da segurança da informação.
A definição de normas internas claras sobre o uso, armazenamento e compartilhamento de dados pessoais é essencial para garantir a conformidade com a LGPD.
Ademais, a capacitação contínua de funcionários e colaboradores sobre boas práticas de segurança da informação reduz riscos relacionados a erros humanos, que frequentemente são a causa de incidentes de vazamento de dados.
A aplicação conjunta de medidas técnicas e administrativas é essencial para o cumprimento das exigências legais e para a mitigação de riscos associados ao tratamento de dados pessoais.
Penalidades para o descumprimento de medidas de segurança e sigilo de dados
O não cumprimento das medidas de segurança e sigilo de dados estabelecidas na LGPD pode acarretar diversas consequências para os agentes de tratamento de dados.
Essas consequências abrangem desde sanções administrativas e responsabilização civil até impactos financeiros e danos reputacionais.
Em termos de sanções administrativas, a LGPD prevê, no art. 52, penalidades que vão desde a advertência, a imposição de multa simples de até 2% do faturamento da empresa no seu último exercício fiscal, limitada a R$ 50 milhões por infração, e a multa diária, que pode ser estabelecida até que as irregularidades sejam corrigidas.
Além disso, a ANPD pode determinar a publicização da infração, a suspensão do funcionamento do banco de dados ou, em casos mais graves, a proibição total ou parcial do exercício das atividades de tratamento de dados.
No âmbito da responsabilidade civil, o art. 42 da LGPD estabelece que o controlador ou operador de dados pode ser obrigado a reparar danos patrimoniais, morais, individuais ou coletivos causados a terceiros em decorrência de incidentes de segurança.
Dependendo do caso, a responsabilização pode ocorrer mesmo na ausência de dolo ou culpa, aplicando-se a teoria do risco da atividade, o que amplia a obrigação de indenização sempre que houver prejuízo ao titular dos dados.
Além das penalidades legais, a violação das normas de segurança de dados pode gerar impactos financeiros e comerciais significativos para as empresas.
O vazamento de informações sensíveis pode resultar em perda de contratos, queda no valor de mercado e aumento dos custos operacionais relacionados à implementação de medidas corretivas.
Além disso, as organizações podem enfrentar dificuldades na obtenção de certificações de conformidade e na manutenção de parcerias estratégicas, especialmente em setores que exigem elevados padrões de proteção de dados.
Outro fator relevante diz respeito ao dano reputacional decorrente da falta de segurança no tratamento de dados.
Empresas e instituições que sofrem incidentes de segurança podem perder a confiança de seus clientes, parceiros e investidores, comprometendo sua credibilidade no mercado.
A transparência e a adoção de boas práticas de governança em privacidade são fundamentais para evitar esse tipo de consequência e demonstrar compromisso com a proteção de dados pessoais.
Diante desses riscos, a conformidade com a LGPD não deve ser encarada apenas como uma exigência regulatória, mas como um diferencial estratégico para organizações que buscam consolidar sua atuação no mercado digital.
