Regulamento de notificação de incidentes em debate na ANPD

por | |

regulamento-de-notificacao-de-incidentes-em-debate-na-anpd

Recentemente, a ANPD realizou uma Audiência Pública para debater a minuta do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. O tema em questão já foi objeto de análise através de tomada de subsídios e Consulta Pública. A redação da proposta, contudo, ainda carece de aprimoramentos.

São muitos os temas controversos e tudo indica estarmos diante de um complexo e oneroso embate jurídico entre o “ser” (que corresponde ao real e factível) e o “dever ser”, cuja previsão nos parece necessitar de algumas lições da teoria do Utilitarismo.

A seguir, elencamos breve resumo de três dos principais pontos em debate:

  1. Definição de risco relevante

Quando falamos em comunicação de incidentes de segurança com dados pessoais, é incontroverso que, segundo a LGPD (art. 48), nem todo incidente implica no dever de comunicação à ANPD e aos titulares, mas somente aqueles que possam acarretar risco ou dano relevante a esses últimos.

Essa limitação é extremamente relevante, à medida que incidentes de segurança são corriqueiros em qualquer organização e uma obrigação irrestrita de comunicação pode gerar efeito oposto ao que se deseja, isto é, viabilizar a adoção de medidas para mitigar impactos negativos aos titulares.

No Relatório de Análise de Impacto Regulatório (AIR), a ANPD, inclusive, demonstrou acertadamente preocupação com a potencial “fadiga” do processo de comunicação, levando ao entendimento de que a comunicação de um incidente, seja ao titular dos dados, seja à própria Autoridade, deveria ser lida como um ato intermediário e não um fim em si mesmo.

Apesar disso, nota-se que a redação final do art. 5º do Regulamento sobre o que seria “risco ou dano relevante aos titulares”, utiliza critérios extremamente amplos que podem conduzir a um cenário de notificações exageradas e, acima de tudo, desnecessárias.

A partir de uma lógica de conjugação de critérios gerais e específicos, a Autoridade busca resolver as discussões sobre “ risco relevante”. Ocorre que os critérios – aparentemente objetivos – não permitem uma avaliação contextual do incidente.

Imagine, por exemplo, uma situação de perda de confidencialidade das credenciais de acesso a um sistema, pertencentes a único titular. Ainda que se trate de uma situação isolada, o simples fato do incidente ter o potencial de limitar o acesso ao sistema e envolver dado de autenticação já deflagraria o dever do controlador de comunicar o incidente.

Senão por isso, mesmo que o controlador fosse diligente a ponto de bloquear imediatamente os acessos em estado de vulnerabilidade e indicar ao titular a troca de suas credencias, o incidente ainda deveria ser notificado, à medida que o regulamento não estabelece situações de dispensa da notificação.

Além disso, nota-se que a metodologia parece estar de acordo com incidentes cuja lógica recai na perda de confidencialidade de dados pessoais, mas quando falamos sobre outros tipos de incidente (disponibilidade, por exemplo), questões como o potencial dano material dificilmente serão mensuráveis pelo Controlador, deixando dúvidas sobre quando um incidente dessa natureza deverá ser comunicado.

Se analisarmos o racional proposto, podemos elencar inúmeras situações que “matematicamente” exigiriam a notificação, mas que, na prática, acabam por desvirtuar o propósito do art. 48 da LGPD.

Isso acontece porque, como pontuado pela pesquisadora Maria Cecília de Oliveira Gomes[1], modelos prescritivos, como o proposto, são insuficientes para atender todas as situações capazes de gerar real impacto ao titular. Um modelo baseado na avaliação de risco, a partir de uma matriz de probabilidade x impacto, parece se coadunar mais ao objetivo da norma.

  1. Prazo de notificação

O art. 6º do Regulamento estabelece que a comunicação do incidente à ANPD deve ocorrer no prazo de 3 dias úteis, contados do “conhecimento” do incidente.

Do conceito trazido pelo próprio Regulamento, um incidente de segurança com dados pessoais traduz-se como “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.

Em sendo assim, a proposição do art. 6º é confusa, tendo em vista que o mero conhecimento do incidente não deveria deflagrar o dever de notificação, mas sim a confirmação da existência de um incidente qualificado (aquele capaz de gerar dano relevante aos titulares).

Chama também atenção a definição do – aleatório – prazo de 3 dias úteis. Ainda que se entenda necessário que a comunicação seja feita em prazo razoável, por certo a definição do lapso temporal deve ser fundamentada, o que não se verifica no caso.

A AIR aponta diversos prazos previstos em legislações ao redor do mundo, mas não considera nenhum estudo técnico para justificar a viabilidade de atendimento do prazo de 3 dias úteis para comunicação.

Se o objetivo é permitir a comunicação de incidentes que posam gerar risco ou dano relevante, o prazo estabelecido no regulamento deveria permitir condições – especialmente de prazo – para uma avaliação mínima do incidente, que possibilite identificar a necessidade ou não da comunicação.

Em palavras simples, não sendo identificado risco ou dano relevante ao titular, não há que se falar em notificação, e qualquer obrigação que destoe dessa lógica seria, obrigatoriamente, contrária ao mandamento legal.

Apenas a título ilustrativo, recentemente a IBM[2] publicou que o tempo médio para identificar e conter um incidente de segurança seria de 277 dias, o que apenas demonstra a relevância de se estabelecer um prazo razoável para avaliação pelo controlador.

  1. Notificação dos Titulares

O art. 9º do Regulamento estabelece o prazo de 3 dias úteis para a comunicação do incidente aos titulares, também com termo inicial a partir conhecimento do incidente.

Nota-se que o Regulamento é contraditório ao estabelecer, como conteúdo da comunicação do Controlador, uma declaração de que foi realizada a comunicação aos titulares, quando o prazo para comunicação dos titulares é o mesmo para comunicação da ANPD.

Sobre esse tema, cumpre destacar o ideal de utilidade que as notificações, especialmente aos titulares, deveriam almejar. Sem adentrar em aspectos técnicos e operacionais para uma notificação tempestiva e individualizada, entende-se que a finalidade da notificação ao titular é trazer clareza e, sempre que possível, propor ações de mitigação de danos (art. 2º do Regulamento).

Assim, ao se adotar o mesmo prazo de comunicação à ANPD, corre-se o risco de serem realizadas inúmeras notificações aos titulares, sem qualquer utilidade prática – já que o controlador nem sempre terá tempo hábil ou condições de esclarecer todos os aspectos necessários sobre o incidente.

Ainda, não podemos ignorar o impacto reputacional que comunicações desse gênero podem gerar, afetando até mesmo a confiança no público em uma empresa que, para atender o regulamento, acabaria por fazer comunicações precipitadas. Curioso é que a própria ANPD, ao longo da AIR, em diversos trechos, também orienta nesse sentido.[3]

Dessa forma, caso não atrelado o termo inicial da notificação à efetiva avaliação do quesito “risco” ao titular, estaríamos ante a possibilidade de reiteradas notificações, sem qualquer ponderação de utilidade.

Vale destacar também que o inciso II do art. 9º propõe que, dentre outros, os riscos ou impactos ao titular estejam contemplados na notificação, o que apenas robustece o ponto.

As questões elencadas acima são apenas alguns dos diversos questionamentos cabíveis. Mais do que a simples redação dos dispositivos, não há convergência a respeito de temas centrais, como a metodologia de classificação de um incidente, o que pode afetar sobremaneira não só o Controlador, mas a própria ANPD e titulares.

Por fim, nos parece que mais uma vez a ANPD procura compatibilizar seus entendimentos ao que acompanhamos como regra no ambiente da União Europeia, fato que, consideradas as especificidades do Brasil, parece desperdício.

Vivemos, especialmente nesse início de 2023, momentos críticos para o futuro do país, notadamente no que concerne à realidade do direito à proteção de dados pessoais. O debate e a oportunidade de criarmos nossas próprias regras bate à porta. E por assim ser, a inclusão de uma generosa dose de “utilitarismo” na abordagem regulatória de uma lei naturalmente cheia de “teorias” e “desejos” faz-se urgente.

[1] Audiência Pública – Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. Disponível em: , 23 de maio de 2023.

[2] https://www.ibm.com/reports/data-breach

[3] Análise de Impacto Regulatório – página 51. Disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/aircomunicacaodeincidentes.pdf. Acesso em 24 de maio de 2023

Adicionar aos favoritos o Link permanente.