Gestão e comunicação de incidentes de segurança envolvendo dados pessoais
17 de janeiro de 2023, 6h31
O clima já se mostrava natalino quando a ANPD atualizou o formulário para comunicação de incidentes de segurança e, em paralelo, atualizou suas orientações quanto ao tema (disponível aqui). O assunto, que tanto preocupa organizações e, claro, a própria autoridade, merece, de fato, tratativa específica e detalhada.
O novo formulário possui, sim, variadas atualizações e está mais detalhado do que o anterior. Há aspectos relevantes quanto ao tema incidente de segurança em si, mas não é o esse o foco deste artigo.A intenção, aqui, é chamar atenção para um aspecto subsidiário, que pode ser extraído das novas orientações da autoridade e do tema comunicação de incidentes de segurança em si. Este artigo trata, portanto, de questões contratuais relacionadas à gestão e comunicação de um incidente de segurança envolvendo dados pessoais.
Já são várias as tratativas contratuais envolvendo Proteção de Dados, em especial, aquelas ligadas à LGPD. Cláusulas contratuais foram inseridas em diversas relações entre as organizações e são encontrados no mercado os mais variados formatos para tratar o tema.
Dentre os temas normalmente discutidos em cláusulas de Proteção de Dados nas relações contratuais, as tratativas referentes à identificação, análise, gestão e comunicação de incidentes de segurança é um dos mais sensíveis.
Se antes havia dúvida quanto à necessidade de tratar obrigações e condições de Proteção de Dados em contratos — cujo objeto enseje tratamento de dados pessoais, por óbvio —, parece que as novas orientações da ANPD quanto ao tema de incidentes de segurança deixam evidente a postura da autoridade quanto a isso.
Afirma-se isso em razão da expressa recomendação da autoridade, no sentido de que controladores e operadores devem inserir, em contrato, obrigações referentes à comunicação de incidentes de segurança, a fim de "agilizar o procedimento e minimizar riscos aos titulares de dados pessoais".
Extrai-se tal ponto de um quadro em destaque nas orientações da autoridade:
"Recomenda-se que as obrigações referentes à comunicação de incidentes entre controladores e operadores sejam estabelecidas em contrato para que possam agilizar o procedimento e minimizar os riscos aos titulares de dados pessoais".
Desse simples parágrafo, parece-nos possível extrair dois principais insights:
1) de início, por óbvio, há uma recomendação expressa da autoridade quanto à necessidade de inserção de cláusulas para tratar de obrigações referentes à comunicação de incidentes de segurança nas relações entre controladores e operadores; e
2) como segundo insight, há a ideia de que, para a autoridade, a previsão clara, em contrato, de obrigações e condições relacionadas à proteção de dados pessoais, pode ser instrumento relevante à minimização de riscos a titulares de dados pessoais.
Se o primeiro insight é relevante, parece-nos, no entanto, que o segundo possui uma relevância ainda maior.
Que o tema de proteção de dados, em especial, questões relacionadas à LGPD, é matéria presente em variadas discussões contratuais, isso ninguém nega; que o tema já vem sendo tratado com seriedade por várias organizações, isso também não se nega; acontece que ainda há muita negligência e tratativas padronizadas quanto ao tema, o que, por vezes, "deixa a desejar" em termos de qualidade e adequação à realidade da operação regulada pelo contrato.
Acontece que, por meio do trecho aqui mencionado, há um aspecto determinante a ser considerado nas tratativas contratuais.
Se a autoridade recomenda que obrigações relacionadas à comunicação de incidentes de segurança sejam inseridas em contrato, a fim de agilizar o procedimento e minimizar riscos aos titulares de dados, a ausência de tratativa ou negligência na tratativa em contrato pode ensejar um entendimento, por parte da autoridade, de que as partes colaboraram para o aumento — ou, ao menos, não mitigação — dos riscos aos titulares.
Ainda, é possível entender que, se a previsão contratual quanto ao tema de incidentes de segurança é relevante para fins de mitigação de riscos aos titulares, a previsão quanto a outros temas também deve ser considerada como relevante, por exemplo, acerca de procedimentos referentes ao atendimento de requerimentos de titulares ou tratativas envolvendo período de retenção e término do tratamento dos dados pessoais.
Assim, se antes havia alguma dúvida quanto à importância da apropriada tratativa contratual envolvendo proteção de dados pessoais, parece que o trecho das orientações da autoridade aqui destacado demonstra qual caminho a autoridade poderá seguir ao interpretar isso em eventual investigação.
Por fim, haveria, ainda, outros aspectos a serem tratados a partir das recomendações e novo formulário da autoridade. Por exemplo, se a tratativa contratual entre controladores e operadores quanto ao procedimento de comunicação de incidentes é relevante para mitigação de riscos a titulares, não parece haver outro entendimento a não ser que tal tratativa também será relevante numa relação entre dois controladores. Ou seja, essa recomendação pode ser perfeitamente aplicável a relações entre dois controladores.
Outro aspecto relevante, quanto ao trecho acima mencionado, seria o relacionado à comunicação entre o operador e o controlador. A autoridade determina que é função do controlador comunicar eventual incidente de segurança. No entanto, também estabelece que é função do operador colaborar com eventuais informações necessárias ao controlador. Acontece que não há, nas orientações da autoridade, nada sobre um prazo recomendado para comunicação do operador ao controlador, o que gera, muitas vezes, discussão na definição contratual.
Encontrou um erro? Avise nossa equipe!