Gestão e comunicação de incidentes de segurança envolvendo dados pessoais

O clima já se mostrava natalino quando a ANPD atualizou o formulário para comunicação de incidentes de segurança e, em paralelo, atualizou suas orientações quanto ao tema (disponível aqui). O assunto, que tanto preocupa organizações e, claro, a própria autoridade, merece, de fato, tratativa específica e detalhada. 

A intenção, aqui, é chamar atenção para um aspecto subsidiário, que pode ser extraído das novas orientações da autoridade e do tema comunicação de incidentes de segurança em si. Este artigo trata, portanto, de questões contratuais relacionadas à gestão e comunicação de um incidente de segurança envolvendo dados pessoais. 

Já são várias as tratativas contratuais envolvendo Proteção de Dados, em especial, aquelas ligadas à LGPD. Cláusulas contratuais foram inseridas em diversas relações entre as organizações e são encontrados no mercado os mais variados formatos para tratar o tema. 

Dentre os temas normalmente discutidos em cláusulas de Proteção de Dados nas relações contratuais, as tratativas referentes à identificação, análise, gestão e comunicação de incidentes de segurança é um dos mais sensíveis. 

Se antes havia dúvida quanto à necessidade de tratar obrigações e condições de Proteção de Dados em contratos — cujo objeto enseje tratamento de dados pessoais, por óbvio —, parece que as novas orientações da ANPD quanto ao tema de incidentes de segurança deixam evidente a postura da autoridade quanto a isso. 

Afirma-se isso em razão da expressa recomendação da autoridade, no sentido de que controladores e operadores devem inserir, em contrato, obrigações referentes à comunicação de incidentes de segurança, a fim de "agilizar o procedimento e minimizar riscos aos titulares de dados pessoais".

Extrai-se tal ponto de um quadro em destaque nas orientações da autoridade: 

"Recomenda-se que as obrigações referentes à comunicação de incidentes entre controladores e operadores sejam estabelecidas em contrato para que possam agilizar o procedimento e minimizar os riscos aos titulares de dados pessoais".

Desse simples parágrafo, parece-nos possível extrair dois principais insights: 

1) de início, por óbvio, há uma recomendação expressa da autoridade quanto à necessidade de inserção de cláusulas para tratar de obrigações referentes à comunicação de incidentes de segurança nas relações entre controladores e operadores; e 

2) como segundo insight, há a ideia de que, para a autoridade, a previsão clara, em contrato, de obrigações e condições relacionadas à proteção de dados pessoais, pode ser instrumento relevante à minimização de riscos a titulares de dados pessoais. 

Se o primeiro insight é relevante, parece-nos, no entanto, que o segundo possui uma relevância ainda maior. 

Que o tema de proteção de dados, em especial, questões relacionadas à LGPD, é matéria presente em variadas discussões contratuais, isso ninguém nega; que o tema já vem sendo tratado com seriedade por várias organizações, isso também não se nega; acontece que ainda há muita negligência e tratativas padronizadas quanto ao tema, o que, por vezes, "deixa a desejar" em termos de qualidade e adequação à realidade da operação regulada pelo contrato. 

Acontece que, por meio do trecho aqui mencionado, há um aspecto determinante a ser considerado nas tratativas contratuais. 

Se a autoridade recomenda que obrigações relacionadas à comunicação de incidentes de segurança sejam inseridas em contrato, a fim de agilizar o procedimento e minimizar riscos aos titulares de dados, a ausência de tratativa ou negligência na tratativa em contrato pode ensejar um entendimento, por parte da autoridade, de que as partes colaboraram para o aumento — ou, ao menos, não mitigação — dos riscos aos titulares. 

Ainda, é possível entender que, se a previsão contratual quanto ao tema de incidentes de segurança é relevante para fins de mitigação de riscos aos titulares, a previsão quanto a outros temas também deve ser considerada como relevante, por exemplo, acerca de procedimentos referentes ao atendimento de requerimentos de titulares ou tratativas envolvendo período de retenção e término do tratamento dos dados pessoais. 

Assim, se antes havia alguma dúvida quanto à importância da apropriada tratativa contratual envolvendo proteção de dados pessoais, parece que o trecho das orientações da autoridade aqui destacado demonstra qual caminho a autoridade poderá seguir ao interpretar isso em eventual investigação. 

Por fim, haveria, ainda, outros aspectos a serem tratados a partir das recomendações e novo formulário da autoridade. Por exemplo, se a tratativa contratual entre controladores e operadores quanto ao procedimento de comunicação de incidentes é relevante para mitigação de riscos a titulares, não parece haver outro entendimento a não ser que tal tratativa também será relevante numa relação entre dois controladores. Ou seja, essa recomendação pode ser perfeitamente aplicável a relações entre dois controladores. 

Outro aspecto relevante, quanto ao trecho acima mencionado, seria o relacionado à comunicação entre o operador e o controlador. A autoridade determina que é função do controlador comunicar eventual incidente de segurança. No entanto, também estabelece que é função do operador colaborar com eventuais informações necessárias ao controlador. Acontece que não há, nas orientações da autoridade, nada sobre um prazo recomendado para comunicação do operador ao controlador, o que gera, muitas vezes, discussão na definição contratual.