Desde a promulgação da Lei Geral de Proteção de Dados (LGPD) em 14 de agosto de 2018, o Brasil estabeleceu diretrizes sobre a coleta, processamento e armazenamento de dados pessoais. Além das regras para privacidade e segurança, a indisponibilidade de dados na LGPD também é um tema relevante, pois pode ser considerada um incidente de segurança e gerar penalidades para as empresas. Inspirada em legislações internacionais, como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, a LGPD visa garantir um ambiente mais seguro e transparente para titulares de dados.

Mas o que acontece se houver indisponibilidade de dados na LGPD?

A LGPD foi criada com objetivos como os de:

• Proteger os direitos fundamentais de liberdade e privacidade: garantindo que os dados pessoais dos indivíduos sejam tratados com respeito e segurança.
• Estabelecer regras claras: sobre a coleta, processamento e armazenamento de dados pessoais, promovendo transparência e responsabilidade.
• Fortalecer a confiança: dos consumidores e usuários em relação ao uso de seus dados pessoais por empresas e organizações.

LIVRE ACESSO

No Art. 6º, a LGPD determina 10 princípios que devem nortear o tratamento de dados pessoais. Estes princípios são os que vão ajudar a garantir que a empresa esteja em conformidade e adequada à lei.

Um destes princípios é o do “livre acesso” e, portanto, é um dos pontos fundamentais da LGPD.

De acordo com a lei, o livre acesso é a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.

Na prática, a empresa deve criar mecanismos para que o titular dos dados tenha o direito de consultar os seus próprios dados e informações de forma gratuita. Além disso, a empresa precisa deixar evidente os seus objetivos e o período de tempo que os dados serão utilizados.

Mas como garantir o livre acesso se os dados estiverem indisponíveis?

Tendo em vista a necessidade de se garantir o “livre acesso”, podemos concluir que a indisponibilidade dos dados é considerada uma violação a um dos princípios fundamentais da LGPD.

INCIDENTES

No contexto da LGPD, um “incidente” refere-se a qualquer evento que resulte na violação de segurança dos dados pessoais.

Isto abrange os ataques cibernéticos, vazamentos de informações, e qualquer perda ou o acesso não autorizado a dados.

Os incidentes podem ser classificados em diversas categorias:

• Vazamento de Dados: Quando informações pessoais são expostas de forma não autorizada.
• Roubo de Dados: Ato criminoso em que dados são roubados com intenções maliciosas.
• Perda de Dados: Dados que são destruídos ou perdidos de forma acidental, ou intencional.
• Acesso Não Autorizado: Quando indivíduos ou entidades obtêm acesso a dados sem a devida permissão.

PERDA DE DADOS

Mesmo que os dados sejam mantidos em sigilo e sua integridade seja preservada, eles geralmente são inúteis, a menos que, quando necessário, estejam disponíveis para os membros da organização e os clientes que atendem. No meio digital, isso significa que sistemas, redes e aplicativos devem estar funcionando como deveriam e quando deveriam. 

Quando falamos em incidentes, a primeira questão que nos vem à mente são os ataques cibernéticos ou vazamento de dados pelas empresas, pois estes são os mais comumente divulgados pelas mídias, já que costumam envolver um volume muito grande de dados pessoais.

Mas precisamos ficar atentos à questão da perda de dados, já que esta também configura um incidente de dados e está sujeita às sanções e multas previstas na LGPD.

Como apresentado acima, a perda de dados ocorre quando os dados que deveriam ser mantidos íntegros, são destruídos ou perdidos de forma acidental, ou intencional.

Podemos estar falando de documentos rasgados ou triturados, documentos apagados por engano ou mesmo documentos apagados intencionalmente por uma ação ilícita.

A indisponibilidade destes dados é considerada um incidente de dados.

A indisponibilidade de seus sistemas de dados pode ser ocasionada por:

✔️ Erro humano
✔️ Falha de hardware e software
✔️ Falha de rede
✔️ Falta de energia
✔️ Desastres naturais
✔️ Ataques cibernéticos

Alguns dos métodos usados para garantir a disponibilidade de dados e aplicativos incluem redundância (servidores, redes, aplicativos e serviços), tolerância a falhas (hardware), patching de software regular e atualizações de sistema, manutenção de backups e cópias de backup e recuperação de desastres.

Pensando especificamente nos dados pessoais em meio digital, este é um dos motivos que tem levado empresas a migrarem sua hospedagem de dados interna para a nuvem, uma vez que estes grandes datacenters podem compartilhar uma infraestrutura robusta que atende aos principais frameworks de segurança, garantindo uma melhor eficácia na disponibilidade dos dados armazenados.

A indisponibilidade de dados na LGPD e a perda de informações também configuram infrações à legislação

Cumprir com a LGPD não é apenas uma exigência legal, mas também uma prática essencial para proteger a reputação das empresas e manter a confiança dos consumidores.

Incidentes de dados podem resultar em sanções administrativas severas, incluindo multas significativas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

Além disso, a transparência e a responsabilidade no tratamento de dados pessoais são fatores críticos para a construção de relacionamentos de longo prazo com clientes e parceiros de negócios.

MEDIDAS DE RESPOSTA A INCIDENTES

Para lidar com incidentes, a LGPD estabelece que as empresas e organizações devem adotar medidas adequadas para responder rapidamente e mitigar os danos. Isso inclui:

• Notificação: Informar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados em caso de incidentes graves.
• Mitigação: Adoção de ações para minimizar os impactos do incidente e prevenir futuros eventos semelhantes.
• Investigação: Conduzir investigações para entender as causas do incidente e implementar melhorias nos sistemas de segurança.

Para tanto é imprescindível a existência de um documento que especifique o que fazer e como fazer nestas situações.

Este documento precisa ser divulgado e treinado com os envolvidos, para possibilitar uma melhor efetividade quando necessário se colocar em prática.

Diante do crescente número de casos de incidentes de segurança da informação e alto custo com a violação de dados, percebe-se a importância na gestão de incidentes para prevenir o impacto financeiro e reputacional que uma violação e vazamento de dados pessoais podem gerar às empresas.

CONCLUSÃO

A criação da LGPD representa um marco significativo na proteção dos dados pessoais no Brasil. Ao estabelecer normas claras e abrangentes, a lei busca garantir que os direitos de privacidade dos indivíduos sejam respeitados e que as empresas adotem práticas responsáveis e seguras no tratamento de informações. Entender o conceito de incidente e implementar medidas eficazes de resposta são passos cruciais para assegurar a conformidade e proteger tanto as organizações quanto os titulares de dados no cenário digital em constante evolução. Não podemos limitar o conceito de incidente a violação e ao vazamento de dados, já que a A indisponibilidade de dados na LGPD também é um incidente de segurança e pode levar a penalidades severas.