O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) está em vigor e se aplica a qualquer controlador de dados ou processador – onde quer que eles estejam – que forneça bens ou serviços a titulares de dados dentro da UE. Empresas sediadas fora da Europa, que se enquadram no âmbito do GDPR, devem entender seus requisitos de resposta à violação de dados e incorporar seus padrões às políticas e procedimentos de resposta a incidentes.
Sob a GDPR, o controlador de dados é a pessoa ou entidade que “determina os propósitos e meios” do processamento de dados pessoais. O processador de dados é a pessoa ou entidade que processa dados pessoais em nome do controlador. “Processamento” tem uma definição extremamente ampla na GDPR, abrangendo praticamente qualquer interação com dados pessoais. O sujeito dos dados é sempre uma pessoa física, não uma corporação ou outra entidade. Em um caso típico, a empresa é a controladora, o provedor de serviços é o processador e os funcionários, contatos, clientes e agentes da empresa são os titulares dos dados.
A seguir, a Cylance descreve quatro conceitos-chave sob o regulamento e como eles diferem de conceitos semelhantes, principalmente em relação à lei dos EUA.
Sob a GDPR, a definição de “violação de dados” é mais ampla do que sob as leis de violação de dados do estado dos EUA:
A definição de “dados pessoais” é mais ampla sob o GDPR do que sob a lei atual americana. Dados pessoais são definidos pelo GDPR para significar “qualquer informação relativa a uma pessoa física identificada ou identificável (…).” Em contraste, muitas leis estaduais de violação de dados são mais limitadas para definir os dados cobertos pelo requisito de notificação – por exemplo, apenas primeiro nome ou nome e sobrenome –, além de algum tipo de identificação específica, número de conta ou código de acesso, bem como nome de usuário ou endereço de e-mail, em combinação com uma senha ou pergunta e resposta de segurança.
No GDPR, não somente os dados estão sujeitos a requisitos de notificação de violação, como as circunstâncias às quais a notificação se aplica são mais amplas. O GDPR define “violação de dados pessoais” como “uma quebra de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais”. As Diretrizes do Grupo de Trabalho do Artigo 29 acrescentam que isso inclui até mesmo um incidente que resulta na perda ou indisponibilidade temporária de dados pessoais. Em contraste, a maioria das leis de violação de dados dos EUA cobre apenas a perda, acesso ou divulgação de dados pessoais “não autorizados”.
O GDPR estabelece uma janela curta para informar a violação:
O Artigo 33 (1) declara que uma violação de dados pessoais deve ser reportada “sem atrasos indevidos” e “onde possível” no prazo máximo de 72 horas após o conhecimento do responsável pelo tratamento. As Diretrizes indicam que o controlador fica ciente de uma violação de dados quando tem “um grau razoável de certeza de que ocorreu um incidente de segurança que levou a comprometimento dos dados pessoais”.
No entanto, as Diretrizes observam que os controladores, ao tomar conhecimento de uma possível violação, têm permissão para um “período curto de investigação” para determinar se ocorreu ou não uma violação, durante a qual o controlador não se qualifica como “ciente”.
Os controladores estão isentos do requisito de notificação somente se puderem demonstrar que a violação “provavelmente não resultará em um risco aos direitos e liberdades das pessoas físicas”. Os processadores não estão sujeitos ao requisito de 72 horas e só precisam notificar os controladores “sem atrasos indevidos” ao descobrir uma violação. O item 87 estabelece que “o fato de a notificação ter sido feita sem demora injustificada deve ser estabelecido tendo em conta, nomeadamente, a natureza e a gravidade da violação dos dados pessoais e as suas consequências e efeitos adversos para a pessoa em causa”.
As leis de violação de dados fora do GDPR não são uniformes ao impor cronogramas de notificação de violação. Por exemplo, o estado americano do Novo México, o mais recente a promulgar uma lei de notificação de violação, determina que as empresas tenham 45 dias para emitir notificações quando uma violação de dados for descoberta, mas somente se mil ou mais residentes do estado forem afetados.
O GDPR exige a notificação da violação de dados à “autoridade supervisora”:
Os membros da UE devem criar uma autoridade de supervisão para ser “responsável pelo acompanhamento da aplicação” do GDPR. O artigo 33 (1) exige que qualquer violação de dados pessoais seja comunicada, em primeira instância, à “autoridade de supervisão competente em conformidade com o 55º artigo”.
Por outro lado, algumas leis de violação de dados exigem notificação ao escritório do Procurador Geral do Estado, não em primeira instância, mas apenas se a violação de dados afetar um número significativo de participantes – como o código civil da Califórnia, que exige a notificação caso o vazamento tenha atingido 500 residentes ou mais. A notificação ao governo geralmente não é necessária no Texas, Oklahoma, Kansas, Arkansas ou Kentucky, entre outros estados. No entanto, se você estiver coberto pela regra de notificação de violação da HIPAA, deverá notificar o Departamento de Saúde e Serviços Humanos e, em alguns casos, a mídia.
A notificação de uma violação de dados pessoais deve conter informações específicas:
Nos termos do artigo 34, nos casos em que a violação de dados pessoais possa resultar em um alto risco para os direitos e liberdades desses indivíduos, os responsáveis pelo tratamento devem notificar os indivíduos afetados sem demora injustificada. A notificação aos titulares dos dados deve incluir o nome e os dados de contato do responsável pela proteção de dados ou outro ponto de contato no qual os titulares dos dados possam obter mais informações sobre a violação.
Nos termos do artigo 33, o aviso deve incluir as seguintes informações:
A natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas físicas em causa e as categorias e o número aproximado de registros de dados pessoais.
As informações de contato do responsável pela proteção de dados ou outro ponto de contato.
As prováveis consequências da violação.
Uma descrição de como o controlador propõe abordar a violação, incluindo os esforços de mitigação.
Além disso, em linguagem clara e simples, a notificação ao GDPR deve fornecer uma descrição das prováveis consequências da violação e as medidas tomadas ou propostas para tomar em consideração a violação.
Por outro lado, muitas leis de violação de dados não impõem requisitos específicos de notificação ou não exigem notificação se uma investigação determinar que não há probabilidade razoável de que os indivíduos afetados sejam prejudicados.
