Ilustradora: Sabrina Gevaerd

Acho que meus dados foram vazados! E agora?

Mesmo tomando todos os cuidados necessários para evitar o vazamento de dados pessoais, é possível que ele venha a acontecer.

Se você desconfiar que seus dados foram expostos, a primeira coisa a ser feita é informar-se. Fique antenado às notícias sobre o assunto e procure pesquisar:

• Quais dados foram expostos na ocasião;
• Quais medidas de mitigação serão tomadas pela organização envolvida;
• Quais medidas estão sendo indicadas para que os titulares tomem; e
• A data do vazamento.

Atenção! Hoje em dia, existem sites que se aproveitam dos vários casos de vazamento de dados para executar práticas fraudulentas.

Vamos dar um exemplo. Imagine uma página com as seguintes palavras:

“Quer descobrir se seus dados pessoais foram vazados? Preencha este formulário e nós descobrimos por você!”

A pretexto de te auxiliar, estes sites acabam coletando mais informações e aumentando seu problema. Por isso, desconfie desse tipo de página; procure sempre fazer contato direto com a organização envolvida no vazamento, que é o agente de tratamento responsável pelos seus dados.

Se houver, de forma comprovada, um vazamento de seus dados pessoais, a ANPD orienta os titulares a buscar informações junto ao controlador dos dados. Clicando aqui, você tem acesso a mais orientações sobre esta solicitação.

Caso a solicitação não seja atendida, ou se não se saber qual organização é o controlador responsável, é possível fazer uma denúncia no site da ANPD, informando:

• Quais foram os dados vazados;
• Quando se teve ciência do vazamento;
• Se acredita que seus dados pessoais foram indevidamente usados em alguma ação criminosa (como estelionato, fraude ou comércio ilegal de dados pessoais); e
• Quais evidências possui para corroborar essa hipótese.

LGPD e o vazamento de dados pessoais

Apesar de não definir o vazamento de dados pessoais, a LGPD dedica alguns artigos para falar sobre práticas de segurança e notificação de incidentes — mais especificamente, trata-se do artigo 46 ao artigo 49.

Podemos encontrá-los no Capítulo VII (“Da Segurança e das Boas Práticas”), Seção I (Da Segurança e do Sigilo de Dados) da lei em comento. Vamos fazer alguns breves apontamentos sobre estes artigos, mas recomendamos sua leitura completa para uma melhor compreensão.

A LGPD estabelece algumas obrigações legais para garantir a segurança dos dados pessoais e impedir seu vazamento. Confira-as a seguir.

Deveres dos agentes de tratamento

De acordo com o art. 46, caput da LGPD, os agentes de tratamento devem adotar uma série de medidas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de:

• Destruição;
• Perda;
• Alteração;
• Comunicação; e
• Ou qualquer forma de tratamento inadequado ou ilícito.

Trata-se de medidas de segurança, técnicas e administrativas, que deverão ser observadas desde a fase da concepção do produto ou serviço até sua execução, segundo o art. 46, §2º. Importante ressaltar que este parágrafo está relacionado ao princípio da prevenção, previsto no art. 6, VIII.

Estes agentes são obrigados a garantir a segurança da informação prevista pela LGPD por ocasião do tratamento de dados, assim como qualquer outra pessoa que intervenha em uma de suas fases. Esta obrigação está prevista no art. 47 da lei e continua mesmo após o término do tratamento.

A ANPD confeccionou, em outubro de 2021, um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, que você pode acessar clicando aqui.

Deveres dos controladores

Eventuais incidentes de segurança que possam acarretar risco ou dano relevante aos titulares devem ser informados pelos controladores à ANPD, nos termos do art. 48, caput da LGPD.

Nos termos do art. 48, §1º, esta comunicação deve mencionar, no mínimo:

1. a descrição da natureza dos dados pessoais afetados;
2. as informações sobre os titulares envolvidos;
3. a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
4. os riscos relacionados ao incidente;
5. os motivos da demora, no caso de a comunicação não ter sido imediata; e
6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A comunicação dos incidentes de segurança ocorre via formulário eletrônico, conforme os procedimentos detalhados nesta página do site da ANPD.

Quero aprofundar meus estudos! Por onde posso começar?

Vamos indicar agora, algumas referências adicionais para continuar se informando sobre o vazamento de dados pessoais. Bons estudos! 😉

Para ler

• “O que é, afinal, um vazamento de dados?”, artigo escrito por José Luiz de Moura Faleiros Júnior, disponível no site jurídico Migalhas de Peso;
• “Vazamento massivo de dados — O que fazer?”, cartilha da Coordenadoria Estadual de Combate aos Crimes Cibernéticos (Coeciber) e do Gabinete de Segurança e Inteligência (GSI), organizada pelo Ministério Público de Minas Gerais;
• “Cartilha de Segurança para Internet. Fascículo. Vazamento de Dados“, produzido por Cert.br, Nic.br e CGI, com contribuição da ANPD.
• “Segurança da informação para Agentes de Tratamento de Pequeno Porte“, produzido pela ANPD.

Para assistir

• “Entenda o risco do vazamento de dados pessoais” vídeo da CNN Brasil Business, disponível no YouTube;
• “Seu smartphone está vazando suas informações” (Your smartphone is leaking your information) vídeo de Bram Bonné, disponível em inglês na plataforma TED;
• “A intolerável negligência da privacidade”, vídeo de Frederico Pacheco, disponível na plataforma TED

Para escutar

• “Nossos dados estão sendo vazados. E agora?”, podcast da Folha Café da Manhã, disponível no Spotify;
• “A epidemia de vazamento de dados e as dicas contra os golpes”, podcast do jornal O Globo;