1. INTRODUÇÃO
Em 24 de abril último, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 15 no Diário Oficial da União, que aprova o Regulamento de Comunicação de Incidente de Segurança. Agentes de tratamento, encarregados, advogados especializados e os próprios titulares de dados — o principal foco de proteção — aguardavam com grande expectativa que esta norma esclarecesse questões relacionadas aos incidentes de segurança. Apesar de existirem normas técnicas, orientações e guias orientativos de autoridades estrangeiras de proteção de dados, ainda havia uma lacuna significativa sobre quando tais incidentes precisariam ser comunicados à autoridade competente e aos titulares dos dados.
Conforme a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/18, o controlador de dados deve comunicar qualquer incidente que possa acarretar risco ou dano relevante aos titulares. Esta exigência difere da norma europeia, o Regulamento Geral sobre a Proteção de Dados (RGPD), que obriga a notificação à autoridade supervisora de todos os casos de violação de dados pessoais, e aos titulares, somente aqueles considerados de alto risco.
No Brasil, a falta de uma definição clara para “risco ou dano relevante aos titulares” deixava os controladores em dúvida sobre quais incidentes realmente precisavam ser divulgados. Além disso, indivíduos mal-intencionados, aproveitando-se dessa ambiguidade, negligenciaram a notificação de incidentes, desconsiderando as orientações de profissionais de privacidade e encarregados de dados.
Essa inércia da ANPD em fornecer orientações oficiosas, aliada a outros fatores como fiscalização deficiente e um judiciário não especializado, resultou em um declínio na procura por projetos de conformidade e no enfraquecimento dos programas de governança, particularmente nos planos de resposta a incidentes.
Assim, o dia 24 de abril poderia ter representado um marco para reafirmar a importância da privacidade e da proteção de dados pessoais. Contudo, como será discutido, a clareza esperada com a nova regulamentação não foi totalmente alcançada.
2. NOVAS CATEGORIAS DE DADOS ADICIONAIS
A resolução incluiu taxonomia específica para classificação dos dados pessoais de acordo com o contexto de utilização: dados de identificação pessoal, dados de autenticação em sistemas, dados financeiros e dados protegidos por sigilo legal, profissional ou judicial.
Em relação às hipóteses legais, a LGPD tão somente explicitou duas categorias de dados pessoais: comuns e sensíveis. Diferente de outras legislações[1], os dados de acesso a sistemas (p.ex. login e senha) ou dados financeiros não são considerados dados sensíveis. É comum no Brasil, especialmente por quem não é do Direito, incluir tais dados equivocadamente como sensíveis. Podem ser sensíveis na acepção semântica do termo, porém não como natureza de dado pessoal prevista na LGPD, sujeitos a regras específicas.
Por tal razão, vale notar que a classificação trazida pela resolução não modifica – e nem poderia, por incompetência – as naturezas dos dados como sendo comuns ou sensíveis, única classificação prevista na LGPD. Serem os dados pessoais relativos a crianças, adolescentes ou idosos, não os alçam a natureza de dados sensíveis nem podem ser considerados como uma nova ou especial categoria de dados, visto que a natureza jurídica do dado implica em hipótese legal específica, enquanto as categorias especiais estão muito mais relacionadas aos titulares do que aos dados em si, com consequências distintas.
O dado de autenticação em sistemas; o dado financeiro ou dado protegido por sigilo legal, profissional ou judicial, portanto, poderão ser comuns ou sensíveis; relacionados a categoria especial de titulares ou não. Nenhum dos dados incluídos no inciso III do artigo 3º demanda hipótese legal específica para tratamento.
Feito esse esclarecimento tem-se que essa nova classificação trazida pela resolução terá efeitos exclusivamente para identificar potenciais danos aos titulares e sua gravidade. De igual forma a categorização dos titulares, servirá para avaliar a necessidade de elaboração de RIPD; o porte do agente de tratamento; para dosar a sanção, ao serem considerados critérios específicos para configuração de tratamento de alto risco. Mais ainda, agora também servirá para avaliar o grau e relevância do dano para fins de comunicação de incidentes.
Entretanto, será fundamental a revisão dos procedimentos internos quanto ao registro das atividades de tratamento (art. 37 da LGPD), visto que a inclusão no mapeamento dessa informação adicional desde o início, dará maior celeridade e efetividade na gestão do incidente.
3. DEFINIÇÃO DE INCIDENTE DE SEGURANÇA
A resolução considera como incidente de segurança, “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”. De início, não há como passar despercebida a inclusão da palavra “segurança”, o que pode parecer um pouco redundante ou confuso porque o termo “segurança” aparece qualificando as propriedades de confidencialidade, integridade, disponibilidade e autenticidade. Este tipo de formulação pode dar a impressão de que as propriedades pertencem à “segurança” dos dados pessoais, o que pode não ser a forma mais clara de expressar essa ideia.
Novidade é a inclusão do termo “autenticidade”, definida como sendo a propriedade que “assegura que uma informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade” (inciso II, art. 3º, Res. 15). O termo soa estranho à definição de segurança da informação, que é, segundo a norma ISO 27.000, a garantia de que uma informação é confidencial, íntegra e disponível.
A ANPD ao incluir autenticidade como um elemento próprio, distinto aos elementos CIA – Confidencialidade, Integridade e Disponibilidade (Availability em inglês)[2], passa a exigir do controlador um cuidado adicional em sua política de segurança da informação, para incluir situações em que uma determinada informação perde a autenticidade sem deixar de ser confidencial, íntegra ou disponível.
A autenticidade se concentra especificamente na verificação da origem e identidade dos dados ou entidades em um sistema de informação. Enquanto a confidencialidade se preocupa em restringir o acesso aos dados apenas às partes autorizadas, a autenticidade vai além, garantindo que a comunicação, os dados ou a transação são genuinamente de quem ou de onde eles afirmam ser. Isso é crucial em ambientes onde a falsificação de identidade ou de dados pode ser uma ameaça significativa.
A autenticidade pode ser vista como complementar, mas distinta, dos elementos tradicionais da CIA. Por exemplo, você pode ter um sistema onde os dados são integralmente precisos e disponíveis, mas se a identidade do remetente for falsa ou se houver um replay de uma transação anterior legítima, então há uma violação da autenticidade sem necessariamente comprometer a integridade ou a disponibilidade direta dos dados.
Em muitos contextos regulatórios, especialmente em áreas sensíveis como serviços financeiros, saúde e governo, a autenticidade é crucial para cumprir requisitos legais e operacionais. A verificação rigorosa da identidade para transações ou acessos é uma medida necessária para prevenir fraudes e abusos.
Com a nova resolução, o plano de incidentes da empresa deverá acrescer o dever de comunicação em casos que a perda de autenticidade que possa acarretar risco de dano relevante aos titulares. Trata-se de uma abrangência na definição de incidente de segurança, relevante, posto que há, por exemplo, casos em que havia perda de autenticidade (um e-mail valendo-se de alteração do DNS[3], que é enviado em nome do controlador com um boleto falso, por exemplo), sem que fosse comunicado aos titulares para evitarem caírem em golpes.
É algo novo, porquanto, o dado pessoal em si sequer foi comprometido ou acessado pelo criminoso, mas na possibilidade de o titular ser induzido a erro, como no exemplo de uma comunicação não autêntica vinda do agente de tratamento, passa a ser de comunicação obrigatória, até porque, nessa situação, provavelmente poderá vir a ocasionar dano relevante, mormente perda financeira, como nos casos de boletos falsos.
Na gestão de incidentes, é prudente operar sob a suposição de que a perda de autenticidade tem o potencial de afetar outros elementos da segurança, mesmo que não seja imediatamente aparente. Portanto, qualquer compromisso da autenticidade deve ser tratado com a mesma seriedade e urgência que os compromissos de confidencialidade, integridade ou disponibilidade, iniciando investigações detalhadas para determinar a extensão total do impactParte superior do formulárioo.
Ao incluir a autenticidade como uma propriedade distinta na definição de incidentes de segurança, a resolução possibilita uma resposta mais específica e direcionada a incidentes onde a autenticidade é o principal vetor de ataque. Isso ajuda organizações a desenvolverem estratégias mais detalhadas e focadas para combater tipos específicos de ameaças.Parte inferior do formulário
Desse modo, os programas de governança devem elevar seu padrão e observância a situações que outrora podem ter sido ignoradas, visto que poderão ser de comunicação obrigatória.
4. A COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA
4.1. Definição do que é risco ou dano relevante aos titulares
O artigo 48 da LGPD especifica que o controlador “deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. Como se depreende, sempre que o incidente puder acarretar risco ou dano relevante aos titulares caberá a comunicação tanto à autoridade nacional como aos titulares, diferentemente do RGPD que estabelece que independentemente do risco envolvido, sempre deverá ser notificada a autoridade de proteção de dados pessoais competente. Por sua vez, quando houver alto risco, os titulares de dados também deverão ser comunicados.
Essa distinção é relevante sobretudo quando é comparada a maturidade do europeu na condução dos planos de resposta a incidente em relação aos brasileiros. Isso porque, para nós, não havia regra sobre quando a comunicação deveria ser realizada, porquanto dependíamos minimamente da definição do que é considerado “risco ou dano relevante”.
Essa lacuna a ANPD tentou preencher na resolução ao estabelecer que, seguindo a mesma lógica da definição de alto risco, um incidente de segurança poderá acarretar risco ou dano relevante aos titulares quando estiver presente o critério geral “afetar significativamente interesses e direitos fundamentais dos titulares” e ao envolver ao menos um dos seguintes critérios:
- dados pessoais sensíveis;
- dados de crianças, de adolescentes ou de idosos;
- dados financeiros;
- dados de autenticação em sistemas;
- dados protegidos por sigilo legal, judicial ou profissional; ou
- dados em larga escala.
Por sua vez, o critério geral – ainda que não seja assim denominado nessa resolução – traz exatamente o mesmo texto da Resolução nº 02, ao especificar que:
§1º O incidente de segurança que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Percebe-se da leitura desse dispositivo que a ANPD, ao simplesmente repetir o texto da Resolução nº 02, vinculando a afetação aos interesses e direitos fundamentais a uma atividade de tratamento e não aos dados ou incidente em si,equivoca-se tecnicamente, posto que a atividade exercida pelo controlador não é que está sob análise quando do incidente de segurança, diferente da elaboração dos relatórios de impacto ou para configurar se determinado agente é ou não de pequeno porte, quando a atividade em si é crucial para análise.
Visto assim, em uma resolução extremamente importante e esperada, a ANPD não resolveu a celeuma, porquanto não há que se falar em atividade de tratamento no incidente e sim nos dados em si. Dito isso, o primeiro critério permanecerá dúbio dificultando a aplicação da lei.
4.2. Prazo para comunicação
Deverá ser realizada no prazo máximo de 3 dias úteis a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.
4.3. Comunicando a Autoridade Nacional de Proteção de Dados Pessoais
Deverá ser feita por meio de formulário eletrônico cabendo ao responsável juntar o documento comprobatório de representação, sejam atos constitutivos quando assinado pelo representante legal; procuração quando advogado ou encarregado de dados terceirizado ou, caso encarregado interno, a comprovação de seu vínculo contratual, empregatício ou funcional.
A procuração deverá conter poderes específicos de representação perante a ANPD.
Quando cabível deverá o controlador solicitar sigilo de informações protegidas por lei, embora eu entenda que todo processo de comunicação deve tramitar em sigilo, no mínimo enquanto não apurado se era ou não caso de comunicação pública.
São documentos obrigatórios a constar da comunicação, reforçando sua importância nos treinamentos e programa de governança:
a) Registro das atividades de tratamento;
b) Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
c) Relatório de tratamento do incidente.
4.4. Comunicando aos titulares
A comunicação do incidente aos titulares de dados deverá observar o uso de linguagem simples, de fácil entendimento e ser feita de forma direta e individualizada quando os titulares puderem ser identificados.
Consideram-se como comunicação direta e individualizada os meios usualmente utilizados pelo controlador para contatar o titular, tais como telefone, e-mail, mensagem eletrônica ou carta. Não sendo possível divulgar nos canais públicos.
Nesse entendimento pode se retirar daqui um argumento para justificar a finalidade de tratamento de tais elementos de dados, visto que serão necessários para fins de comunicação ao titular.
Conclui-se também que ao manter tais dados atualizados, o controlador obtém uma vantagem de não ter que tornar o fato público, embora a comunicação direta ou indireta raramente possa ser considerada garantia de efetividade.
A comprovação da comunicação deverá ser por meio de declaração que, a despeito da omissão da resolução, entendo poderá ser assinada pelo encarregado de dados pessoais, visto que é a esse quem cabe atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (art. 5º, inciso VIII).
A inclusão na comunicação de recomendações aptas a reverter ou mitigar os efeitos do incidente pode ser considerada uma boa prática, embora eu entenda que não podem ser consideradas atenuantes, visto que tais recomendações são inerentes a uma comunicação efetiva, conforme se observa do inciso VI do §1º do art. 48 da LGPD (“VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo”).
5. PROCESSO DE APURAÇÃO DE INCIDENTE DE SEGURANÇA – PAIS
O Processo de Apuração de Incidente de Segurança – PAIS é o gênero que abrange as duas espécies procedimentais: o Procedimento de Apuração de Incidente de Segurança e o Procedimento de Comunicação de Incidente de Segurança, sendo que o primeiro é de competência e iniciativa exclusiva da ANPD, nas hipóteses em que o controlador não realiza por conta própria a comunicação. Já o segundo procedimento é aquele iniciado pelo próprio agente de tratamento.
6. AMPLA DIVULGAÇÃO
A depender da gravidade do incidente o controlador poderá ser obrigado a divulgar o fato em meios de comunicação a fim de dar ampla divulgação. Podendo dar-se, por escolha da ANPD:
a) No sítio eletrônico do controlador;
b) Nas redes sociais do controlador;
c) Outros meios de comunicação.
Ainda que o incidente seja de elevada gravidade a ampla divulgação não será sempre obrigatório. Será obrigatória somente quando se fizer necessária para salvaguarda dos direitos dos titulares.
7. O REGISTRO DO INCIDENTE DE SEGURANÇA
Em cumprimento ao princípio da responsabilização e prestação de contas o controlador deverá manter, por um prazo mínimo de 5 anos, o registro do incidente de segurança, mesmo quando esse não tiver sido comunicado à ANPD e aos titulares,
Reforça-se, assim, a importância de um plano de resposta a incidente robusto, que envolva todos os responsáveis e seja bem documentado e conduzido, apoiado pelas orientações do Encarregado de Dados.
8. CONCLUSÃO
A Resolução nº 15 da Autoridade Nacional de Proteção de Dados (ANPD) ao regulamentar o procedimento para comunicação de incidentes de segurança envolvendo dados pessoais, fortalece o sistema de proteção à privacidade no Brasil, introduzindo diretrizes mais claras sobre os critérios de notificação. No entanto, não preenche objetivamente as lacunas deixadas pelas LGPD, permanecendo algumas incertezas para os agentes de tratamento.
A tentativa da ANPD de definir o que constitui “risco ou dano relevante” aos titulares é um avanço, mas a repetição de textos anteriores continua a deixar espaço para interpretações divergentes, ao confundir a atividade de tratamento efetuada pelo controlador com o incidente em si, sendo que esse é que deve ser analisado sobre o critério do risco ou dano ao titular e não a atividade executada na origem pelo agente de tratamento.
A inclusão do conceito de autenticidade como um elemento central na definição de incidentes de segurança é uma adição notável e que confere maior proteção aos titulares de dados, prevenindo fraudes e abusos antes mesmo da concretização da violação dos dados pessoais.
Além disso, a exigência de comunicação de incidentes em até 3 dias úteis coloca uma pressão significativa sobre os controladores para que tenham processos e procedimentos de resposta a incidentes bem estabelecidos e eficientes. A necessidade de incluir documentos como o Registro das Atividades de Tratamento e o Relatório de Impacto à Proteção de Dados Pessoais na comunicação reforça a importância de uma governança robusta e de uma documentação detalhada e atualizada.
A resolução também aborda a comunicação aos titulares de dados, enfatizando a necessidade de uma abordagem clara, direta e individualizada. Isso é essencial para garantir a transparência e a confiança dos titulares em relação ao tratamento de seus dados pessoais.
Em última análise, a Resolução nº 15 da ANPD é um passo em direção a uma governança mais rigorosa e clara da proteção de dados no Brasil, mas ainda deixa espaço para melhorias. A clareza total e a eficácia da regulamentação dependerão da capacidade da ANPD de fornecer orientações adicionais e da maturidade das organizações em implementar práticas de segurança da informação que atendam às novas exigências. As empresas devem aproveitar essa oportunidade para revisar e aprimorar seus planos de resposta a incidentes, garantindo que estejam bem-preparadas para enfrentar qualquer desafio de segurança que possa surgir.
A evolução contínua das regulamentações e das práticas de segurança é essencial para garantir que a proteção de dados pessoais acompanhe as crescentes ameaças e complexidades do mundo digital. Portanto, a comunidade de proteção de dados deve permanecer vigilante e adaptável, trabalhando em conjunto para fortalecer a privacidade e a segurança dos dados no Brasil.
Citações e referências:
[1] A Lei da Califórnia, por exemplo, foi bem mais descritiva e abrangente ao incluir no capítulo sobre tratamento de dados pessoais de consumidores no Código Civil estadual, o CCPA – California Consumer Privacy Act,, os seguintes elementos como sendo dados sensíveis. Toda aquela informação pessoal que revele:
i. O número do seguro social, da carteira de motorista, do cartão de identificação estadual ou do passaporte de um consumidor.
ii. O login de conta, número de conta financeira, número de cartão de débito ou crédito de um consumidor em combinação com qualquer código de segurança ou acesso necessário, senha ou credenciais que permitam acesso à conta.
iii. A geolocalização precisa de um consumidor.
iv. A origem racial ou étnica, cidadania ou estado de imigração, crenças religiosas ou filosóficas, ou filiação sindical de um consumidor.
v. O conteúdo do correio, e-mail e mensagens de texto de um consumidor, a menos que a empresa seja o destinatário pretendido da comunicação.
vi. Os dados genéticos de um consumidor.
vii. O processamento de informações biométricas com o propósito de identificar unicamente um consumidor.
viii. Informações pessoais coletadas e analisadas sobre a saúde de um consumidor.
ix. Informações pessoais coletadas e analisadas sobre a vida sexual ou orientação sexual de um consumidor.
[2] Embora a norma ISO não faça referência expressa ao termo “autenticidade” ao definir segurança da informação, há nota que em situações específicas poderá abranger, além da CIA, autenticidade e não repúdio. O NIST, por sua vez, na noma de Garantia de Informação, adotada pelo governo americano, inclui 5 pilares: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não-repúdio.
[3] Outras situações que passam a ser consideradas incidentes de segurança pela LGPD, por perda de autenticidade:
a. Redirecionamento de um Usuário ou Mensagem (Phishing): Um atacante pode redirecionar um usuário para um site falso que parece autêntico. Embora os dados ainda não tenham sido acessados, alterados ou indisponíveis (o que afetaria a confidencialidade, a integridade e a disponibilidade), a autenticidade do site é comprometida porque não é gerenciado pela entidade legítima que o usuário pensa estar acessando.
b. Replay de Transações Antigas: Considere uma transação bancária legítima que é gravada e depois retransmitida por um atacante. A transação original foi autêntica, e sua integridade não é alterada durante o replay; nem a disponibilidade nem a confidencialidade dos dados são necessariamente afetadas. No entanto, a autenticidade da transação como um todo é comprometida porque não é uma solicitação genuína do usuário no momento do replay.
c. Uso indevido de Credenciais de Autenticação: Um atacante pode obter e usar credenciais de autenticação (como senhas ou tokens) sem a permissão do usuário legítimo. As operações realizadas com essas credenciais podem não afetar a confidencialidade, a integridade ou a disponibilidade dos dados se o sistema simplesmente registrar as ações como se fossem realizadas pelo usuário legítimo. No entanto, a autenticidade das ações é comprometida porque não são realizadas pelo proprietário autêntico das credenciais.
d. Assinatura Digital Comprometida: Se uma chave privada usada para assinar digitalmente documentos ou transações é roubada, as assinaturas criadas com essa chave são tecnicamente válidas. A confidencialidade, integridade e disponibilidade dos documentos assinados podem permanecer intactas, mas a autenticidade das assinaturas é questionável, pois não foram o resultado de uma ação consciente e intencional do detentor da chave.
Autor do artigo:
Rafael Maciel
