A Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD) possui como um de seus objetivos a proteção ao vazamento de dados pessoais e, em seu artigo 47 determina que os agentes de tratamento (operador e controlador) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, situações incidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito dos dados pessoais.
O vazamento de dados se trata da exposição de dados pessoais ou dados sensíveis a pessoas não autorizadas, além de que, a utilização dos dados para finalidade diversa da coletada também pode ser enquadrada como vazamento dos dados.
Dessa forma, caso haja o vazamento dos dados pessoais, o primeiro passo determinado pela LGPD é que o controlador (agente de tratamento) comunique a ANPD (Autoridade Nacional de Proteção de Dados) e ao titular dos dados, a respeito da ocorrência de vazamento de dados que possa resultar em risco ao titular dos dados, ressaltando que o controlador não é isento da responsabilização e penalidades previstas na LGPD, conforme artigo já publicado no site ‘’A RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS’’, inclusive o titular dos dados pessoais vazados pode apresentar uma petição contra o controlador diretamente no site da ANPD.
E, segundo a Lei nº 13.709/2018, no artigo 48, esta comunicação deve ocorrer em prazo razoável (nos dias seguintes ao conhecimento do vazamento) e deve mencionar pelo menos:
I – a descrição da natureza dos dados pessoais afetados; II – as informações sobre os titulares envolvidos; III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV – os riscos relacionados ao incidente; V – os motivos da demora, no caso de a comunicação não ter sido imediata; e VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ou seja, o titular dos dados pessoais deve ser comunicado pela empresa que sofreu o incidente e deve ser informada de toda a evolução no que diz respeito à investigação daquele incidente, para evitar ataques relacionados à informação vazada.
Portanto, as empresas deverão instituir um procedimento eficiente que garanta que todos os dados pessoais tratados sejam apenas os necessários e que sejam utilizados de forma adequada, dentro da finalidade para os quais foram coletados.
Além de que, há o direito subjetivo do titular dos dados de não só apresentar reclamação na Autoridade Nacional De Proteção De Dados (ANPD), mas também de ajuizar ação judicial de ressarcimento de danos decorrentes do tratamento de dados pessoais, segundo o artigo 42 da LGPD, onde o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo, ou seja, a via administrativa na ANPD não é a única forma do titular lesado buscar reparação, caso existam evidências de que aquela empresa controladora dos dados sofreu incidente de segurança que causou dano patrimonial ou moral, individual ou coletivo, sobre o titular de dados, tem o direito a indenização por danos morais.
Comments