*Por Alex Amorim
Em um cenário de incidente cibernético com impacto nos dados pessoais, o controlador deve ou não reportar o fato para a Autoridade Nacional de Proteção de Dados?
Esse questionamento é pertinente principalmente quando olhamos para o ecossistema das empresas, que contam com diversos parceiros para operacionalizar o negócio. É comum que as operações das companhias brasileiras atuem de forma interligada. Normalmente, esses parceiros exercem um papel de OPERADOR, pois eles tratam os dados pessoais em nome do CONTROLADOR.
Diante da alta dos ataques cibernéticos, podemos perceber que os OPERADORES terceirizados podem sofrer um incidente de Segurança, afetando as operações dos CONTROLADORES. Um ataque de ransomware, por exemplo, pode impactar todo um ecossistema e canais de negócios da empresa que desempenha o papel de CONTROLADOR.
Esse cenário desperta a dúvida que destaquei no início deste artigo. Assim como o OPERADOR, o CONTROLADOR deve também reportar o incidente à ANPD? Para responder essa questão, é importante destacarmos aqui as responsabilidades e funções pautadas no texto da Lei Geral de Proteção de Dados.
O artigo 38 da LGPD diz que o OPERADOR deve realizar o tratamento dos dados de acordo com as instruções fornecidas pelo CONTROLADOR. Ou seja, os papéis devem ser claros em relação às ações e melhores práticas de proteção de dados pessoais.
Já o artigo 46 deixa muito claro que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Quando olhamos para esses artigos, fica claro que o papel principal do CONTROLADOR é deixar as instruções de Segurança bem estabelecidas para que o OPERADOR possa seguir de forma correta, além das medidas que devem ser adotadas em caso de incidente.
Outro ponto importante é o parágrafo único do artigo 44 da LGPD: Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Isso significa que o CONTROLADOR precisa deixar muito claro qual o nível de Segurança que o OPERADOR precisa seguir, caso contrário, o OPERADOR será responsabilizado pelo incidente.
Voltando à questão inicial, sim, o CONTROLADOR deverá comunicar à Autoridade e ao titular do dado em caso de incidente cibernético que cause danos relevantes. Mesmo um incidente acontecendo no OPERADOR, uma empresa de call center por exemplo, o CONTROLADOR deve comunicar o fato à ANPD com base no artigo 48. E essa comunicação precisa acontecer rapidamente, baseada nas informações que o CONTROLADOR tem em mãos.
Com base nesses pontos, é importante deixar claro que mesmo que um incidente não aconteça diretamente na minha empresa, se eu tenho tudo mapeado e as operações de tratamento estão bem estabelecidas junto ao meu parceiro, que exerce esse papel de OPERADOR e trata os dados pessoais dos meus clientes, eu, como CONTROLADOR, tenho a obrigatoriedade de comunicar à Autoridade o incidente ocorrido, que afetou minha base de clientes.
*Alex Amorim é CISO | DPO e Presidente do IBRASPD