Embora siga pendente a resolução destinada a disciplinar a comunicação de incidentes de segurança envolvendo dados pessoais, a ANPD ditou o tom que passará a adotar a partir deste ano: maior colaboração e maturidade dos agentes de tratamento. É o que espera a autoridade brasileira que, em dezembro, reformulou as orientações dispostas em seu site sobre o tema, além de reestruturar o formulário de comunicação adotado pelos agentes de tratamento.
A mudança simboliza o amadurecimento no tratamento regulatório do tema e inaugura uma nova fase de atuação da ANPD, notadamente mais incisiva, que exige do agente de tratamento – mais especialmente, do controlador – a disponibilidade de um conjunto de informações bastante robusto, amplo e complexo.
A começar pela exigência de que o controlador declare ser (ou não) agente de tratamento de pequeno e médio porte, conforme os requisitos estabelecidos na Resolução CD/ANPD n.º 2/2022, a fim de permitir o enquadramento em um regime legal diferenciado que prevê prazo em dobro e procedimento simplificado para comunicação de incidentes de segurança.
Apesar de vantajosa, a declaração requer atenção do controlador notificante ante a possibilidade de a ANPD requisitar a comprovação de sua qualidade de agente de pequeno porte, cujo prazo de atendimento é de até quinze dias. Para tanto, ao se manifestar no formulário de comunicação, é ideal que o controlador esteja amparado em um posicionamento interno anterior, já adotado em seu programa de conformidade e governança de dados pessoais e privacidade, no qual sua condição, como agente de tratamento, tenha sido adotada de forma refletida, especialmente após opinião do Encarregado ou Comitê de privacidade, com o apoio do departamento jurídico, ou mediante o auxílio de consultoria externa, o que deve estar, inclusive, documentado.
Essa preocupação torna-se ainda mais relevante diante do risco de “desenquadramento”, uma vez que a ANPD pode, ao analisar a notificação, discordar da classificação da organização notificante como agente de tratamento de pequeno porte e, assim, afastar a aplicação da Resolução n.º 2, tornando automaticamente exigíveis as obrigações flexibilizadas, tal como a indicação do Encarregado pelo tratamento de dados pessoais, o que pode resultar na fiscalização e posterior aplicação de penalidade pela ANPD.
Nesse contexto, também é compreensível a exigência, no formulário, de que o controlador informe o número total de titulares cujos dados pessoais sejam tratados pela empresa ou organização, haja vista que o tratamento em larga escala, pendente de definição, é um dos critérios adotados para qualificar – ou não – o agente de tratamento de pequeno porte.
Longe de se restringir a essa finalidade, vale recordar que o critério também poderá ser utilizado para aferir a gravidade de uma infração à LGPD, conforme a proposta de Resolução para dosimetria e aplicação de sanções. Uma vez que a normativa está prevista para início de 2023, é remota a possibilidade de grandes mudanças na minuta até então apresentada. Com isso, espera-se que muito do proposto reste oficializado na nova norma expedida pela ANPD.
Ponto interessante é levantado pela ANPD ao tratar das medidas técnicas e administrativas empregadas para a proteção dos dados: questiona a autoridade brasileira sobre a adoção de mecanismos para dificultar ou impossibilitar a identificação dos titulares. A particularidade reside no fato de que, pelo sistema atualmente vigente, a identificabilidade do titular é critério empregado tão somente para aferir a caracterização da informação enquanto dado pessoal.
Assim, a ANPD parece sinalizar uma importante mudança de conjuntura, o que é reforçado quando observado que a autoridade expressamente arrola a identificabilidade dos titulares entre os critérios a serem considerados para avaliação da existência de risco ou dano relevante aos titulares – e, portanto, da existência do dever legal de comunicação. Não se trataria de movimento inédito – haja vista a existência de outras metodologias que adotam critério semelhante, como aquela proposta pela Agência Europeia para a Segurança das Redes e da Informação (ENISA).
Embora constitua um elemento importante na aferição da gravidade do incidente, é necessário que a autoridade brasileira seja parcimoniosa ao estabelecer a metodologia a ser utilizada pelos agentes de tratamento e, mais ainda, o grau de contribuição da identificabilidade do titular na definição do grau final de risco.
Dito de outro modo, é necessário que a ANPD efetivamente assegure que o risco final seja obtido a partir de uma análise que, assentada em diversos elementos iguais ou ainda mais relevantes, como a sensibilidade do conjunto de dados afetados, observe as particularidades de cada incidente. Nesse contexto, a identificabilidade do titular não deve constituir critério capaz de, por si só, qualificar o grau de risco por inexistir uma relação consequencial entre a maior ou menor facilidade de identificar o titular e o dano potencial ou real por ele experimentado – basta pensar, por exemplo, que o Nome, o CPF e a filiação dificilmente expõem o titular à fraude de identidade por si só.
Contudo, ao tratar da comunicação dos titulares e dos riscos e consequências a eles impostos é que a ANPD inovou em maior medida: agora, passa a autoridade a exigir que o agente de tratamento indique não apenas se já promoveu a comunicação aos titulares interessados, mas quando pretende fazê-lo. Indiretamente, a ANPD requer dos agentes de tratamento maior organização e, nesse contexto, a existência de uma política e de um plano de respostas a incidentes será um diferencial.
Indo além, sempre em tom de recomendação, a ANPD indica a forma que os agentes de tratamento deverão preferencialmente adotar para comunicação dos titulares, ou seja, fazendo-o de maneira individualizada. Isso porque, caso opte por outro método, como a divulgação em mídias sociais, deverá o agente de tratamento expor as razões que tornaram impossível ou inoportuno contatar diretamente os titulares interessados.
A ANPD exige, ainda, que os agentes de tratamento sejam capazes de identificar os impactos potenciais ou reais do incidente para cada um dos grupos de titulares afetados. Mais uma vez, sairá na frente quem dispuser de uma metodologia bem estruturada e um time capacitado, além do apoio de uma consultoria externa experiente e qualificada para responder a incidentes dessa natureza. Não bastasse, será necessário indicar quão facilmente recuperável é o dano provocado (se existente).
Sobre isso, vale recordar: diversas consequências enumeradas pela ANPD (como danos morais, discriminação social e limitação de acesso a um serviço) constituirão critérios para indicar maior ou menor gravidade da infração à LGPD. Aliás, algumas das hipóteses mencionadas poderão sugerir o reconhecimento de infração como sendo de natureza grave. Por seu turno, a recuperabilidade influencia diretamente no grau de dano que, por sua vez, é critério definidor do valor da multa eventualmente aplicada pela ANPD.
Fato é que, com as reformulações, a ANPD eleva o tom e a maturidade com que passa a tratar dos incidentes de segurança, o que traz benefícios para todo o quadro regulatório brasileiro: aos titulares, promove a confiança e aumenta a proteção dos seus interesses e direitos; para os agentes de tratamento, beneficia aqueles que, de forma diligente, têm promovido o cumprimento da LGPD; aos demais, impulsiona a busca pela melhoria da qualidade de seus programas internos de privacidade.
Assim, todos saem ganhando.
Fonte: JOTA. Leia matéria completa.