A noção de sociedade de risco foi muito bem incorporada pela Lei Geral de Proteção de Dados nº 13.709/2018 (LGPD). A norma concretiza a ideia que a evolução social é tão dinâmica, que já não é mais viável exigir condutas binárias, como pode ou não pode, deve ou não deve. No caso da LGPD, essa noção vem desenhada na lógica de que agentes de tratamento não têm como garantir que não haverá acesso ou uso indevidos dos dados que estão sob sua custódia. Deverão, em verdade, adotar as medidas suficientes a garantir que o custo necessário para violar essa segurança é maior que o benefício auferido com os dados indevidamente acessados.
Dentro dessas medidas, também chamadas de boas práticas na segurança de dados, estão aquelas para identificar falhas no próprio sistema, bem como as de mitigação de danos, quando a barreira da prevenção falhar. São posturas proativas, pelas quais o agente de tratamento está em constantemente vigilância, entendendo que a segurança de hoje provavelmente equivalerá à insegurança de amanhã.
Esse trabalho de controle não ocorre somente porta a dentro. A LGPD ampliou o grupo de atores envolvidos na segurança de dados, quando disciplinou em seu artigo 48 o incidente de insegurança. Apesar do nome, esse mecanismo não é iniciado somente quando há efetivamente o acesso indevido ou a invasão ao sistema de proteção de dados. Basta que seja identificada uma vulnerabilidade no sistema, para surgir a obrigatoriedade de ser acionada a autoridade nacional de proteção de dados. Da mesma forma, o titular dos dados deve ser imediatamente notificado.
Esse dever de notificação tem uma dupla função. A primeira é preventiva. Na medida em que a notificação impactará na imagem da empresa, haverá esforços significativos para que não surjam episódios de vulnerabilidade. A segunda é a ampliação do rol de pessoas capazes de impedir o acesso indevido ou a captura de dados. Ou seja, a ANPD e o próprio titular podem ter papel decisivo na preservação do dano.
Enquanto a ANPD se vale de sua posição de ator público para exercer seus poderes em prol da preservação dos dados, o titular tem legitimidade constitucional para buscar a tutela jurisdicional e trazer a força estatal necessária à proteção de sua intimidade e privacidade. A notificação, claro, é ainda mais obrigatória, e pelos memos motivos que já mencionei, nas situações em que o vazamento ou acesso indevido também ocorre.
O mais interessante nas técnicas para lidar com incidentes de segurança é que elas auxiliam a impedir que empresas tenham programas de segurança de dados de gaveta. Para lidar com incidentes de segurança é preciso estar previamente preparado; treinado. A empresa deve ter processos internados premeditados, e a equipe há de saber executa-los com precisão. Sem isso, da vulnerabilidade decorrerá o inevitável vazamento. E pior, esse vazamento não terá controle, atingindo níveis de exposição que transformar a informação privada em pública. Esse cenário catastrófico, causará danos irreparáveis ao titular dos dados, mas também intensas sanções à empresa.
Fica aqui uma pergunta final: a adequação que feita para atender aos requisitos da LGPD efetivamente preparou a sua empresa para lidar com incidentes de segurança?
