Opinião & Análise

LGPD

Proteção de dados pessoais na prática

Uma declaração de garantia de conformidade basta?

Crédito: Pixabay

A Lei 13.709/18, ou Lei Geral de Proteção de Dados (conforme alterada, a “LGPD”), trouxe ao Brasil variadas discussões sobre o tema da proteção de dados pessoais e da privacidade. Desde sua sanção em 2018, cursos foram criados, fóruns realizados, eventos organizados e o assunto não deixou mais a pauta do momento.

Se as abordagens são variadas, os temas a serem discutidos, por sua vez, parecem inexauríveis. Da adjetivação do consentimento à razoabilidade da aplicação das sanções, os temas podem passar por segurança da informação, gestão de direitos dos titulares, forma de realização do relatório de impacto, metodologia para realização de um teste de balanceamento no legítimo interesse, análise relacionada à anonimização de dados, formas de prestação de contas, entre muitos outros.

Apesar das inúmeras discussões e da já visível movimentação do mercado, existe um tema – este um pouco mais amplo e abstrato – que insiste em voltar à pauta, que é o relacionado à forma pela qual, de fato, a lei produzirá seus efeitos. Em outras palavras: como isso funcionará na prática?

As discussões sobre os efeitos da LGPD e impactos às organizações têm sido bastante voltadas – de maneira compreensível e razoável – para as relações entre (i) as organizações e os titulares de dados e (ii) as organizações e as autoridades competentes, em especial a Autoridade Nacional de Proteção de Dados e o Ministério Público. Acontece que existe uma relação que também merece a devida atenção: aquela envolvendo o tratamento de dados pessoais entre os agentes de tratamento.

Sem qualquer intuito de analisar o mérito envolvido na demanda, este artigo analisa brevemente as informações públicas sobre o que foi alegado pela Delta Air Lines (“Delta”), em ação que propôs contra uma de suas prestadoras de serviços e, pelo que consta, Operadora de Dados Pessoais, a [24]7. AI Inc (a “[24]7”). A análise da demanda é extremamente proveitosa para que, através de alguns pontos de destaque, seja possível antever “como isso funcionará na prática”.

De acordo com as alegações da Delta, a demanda se deu por falha de segurança identificada e não comunicada pela [24]7, que potencialmente expôs a riscos em torno de 800 a 825 mil titulares de dados, todos clientes da Delta.

Conforme alegado na demanda, a Delta buscava no mercado prestador de serviços para instalar e gerenciar uma ferramenta de chat automatizado em seu website para que os usuários pudessem ser atendidos de maneira mais eficaz quando buscassem por passagens ou por sanar alguma dúvida. A Delta, então, iniciou um processo de concorrência que durou meses, avaliando variadas empresas concorrentes, dentre elas a [24]7, que, de acordo com o relatado na demanda, teria entrado na concorrência posteriormente através de meios alheios ao processo de concorrência (pelo que consta, a [24]7 utilizou contatos para acionar a Delta e participar do procedimento).

Ainda em processo de concorrência, a [24]7 apresentou um documento relacionado à segurança da informação de sua ferramenta. Após um período de teste da ferramenta, em que a [24]7 concorreu com mais uma finalista do processo, a [24]7 venceu e passou a ser a prestadora de serviços da Delta, bem como sua Operadora de Dados Pessoais. Posteriormente, quando da entrada em vigor do Regulamento Geral de Proteção de Dados Europeu (“RGPD”), a Delta relata no processo que acionou todos seus prestadores de serviços, incluindo a [24]7, para que assinassem um novo documento, envolvendo os parâmetros de proteção de dados obrigatórios para a continuação da prestação de serviços. Este documento também foi assinado pela [24]7, quando já contratada para os serviços.

Com base no que foi relatado na demanda, para que a [24]7 pudesse prestar os serviços, precisaria instalar determinada tag no site da Delta, que basicamente é um código programado, o qual permite a coleta de determinadas informações do usuário e o pronto envio da mensagem por meio do chat quando da entrada do usuário no site. A ideia era de que o chat apareceria ao usuário com alguma mensagem padrão oferecendo ajuda e, caso o usuário interagisse, a demanda poderia ser direcionada aos atendentes da Delta.

Entretanto, a [24]7 sofreu uma falha de segurança e o código instalado no site da Delta foi modificado pelo atacante, passando este não somente a coletar as informações básicas envolvidas nos serviços prestados, como também informações referentes aos clientes da Delta, tais como: nomes, endereços, cartões utilizados para pagamento e seus códigos de segurança. De acordo com o relatado, a [24]7 não possuía requisitos adequados de segurança da informação, apesar de suas declarações contratuais e de seu documento apresentado à Delta ainda em fase de concorrência.

Conforme consta do processo, o incidente teria ocorrido em setembro de 2017, e sua descoberta ocorrida somente em outubro de 2017 pela [24]7, sendo comunicada apenas em março de 2018, ou seja, mais de cinco meses posteriores à sua ocorrência. Ainda, mesmo quando houve a comunicação, esta se deu de maneira completamente inadequada, através de três frases publicadas no site da [24]7.

De qualquer forma, a Delta alega ter tomado as providências de forma imediata após ter conhecimento do ocorrido, retirando a ferramenta do site e iniciando uma investigação para verificar a extensão do dano, vindo a público e comunicando o incidente após seis dias de seu conhecimento, em abril de 2018.

Para mitigar riscos, a Delta relata que contatou individualmente os clientes potencialmente impactados, ou seja, os 800 a 825 mil clientes que podem ter sido afetados pelo incidente, oferecendo suporte com consultoria de monitoramento de crédito e serviços de atendimento. Após a comunicação do incidente, ações coletivas foram movidas contra a Delta, que precisou lidar com as demandas em razão do incidente de segurança.

Este caso pode servir para a discussão de variados temas e pontos de atenção para as organizações antes da entrada em vigor da LGPD, que vão desde segurança da informação e contratos entre agentes de tratamento, até a realização de auditoria em prestadores de serviços e da análise dos impactos de uma comunicação de incidente de segurança.

O intuito deste artigo é chamar a atenção para dois pontos relevantes, sem prejuízo de reconhecer que vários outros poderiam ser abordados.

O primeiro e, talvez, mais notório ponto de destaque do caso, é o referente aos impactos que uma organização pode sofrer em razão de um incidente de segurança ocasionado por um prestador de serviços. Nota-se que, apesar de todo esforço documental da Delta, as declarações de garantia fornecidas pelo prestador de serviços não foram eficazes na prevenção do incidente e, posteriormente, não ajudaram na remediação.

Não somente o prestador (supostamente e de acordo com o alegado) não possuía os requisitos de segurança que declarou possuir, como não cumpriu com o dever de comunicar o incidente de maneira a colaborar com a obrigação de comunicar do controlador (Delta).

Tais impactos são de grande dimensão: não apenas a Delta precisou lidar com os custos e esforços de uma investigação interna para análise da extensão do dano, como precisou suportar os prejuízos, financeiros e de reputação, ao comunicar cada um dos mais de 800 mil clientes acerca do ocorrido, bem como disponibilizar canais de atendimento e serviços de monitoramento de crédito, em razão da criticidade dos dados coletados de forma indevida.

Além disso, os impactos se estendem às demandas enfrentadas pela organização após a comunicação e a todo o custo de gerenciamento do incidente, como já tratado. Não foi mencionado, ainda, se haverá algum impacto referente à investigação de autoridade competente e eventual sanção administrativa.

Observando os impactos acima, parece-nos razoável defender que a preocupação das organizações contratantes de operadores de dados pessoais deve se dar não somente mediante cláusulas contratuais adequadas e a formalização de documentos e políticas envolvendo a proteção de dados pessoais, mas também com relação a um caráter operacional, prático, de gerenciamento de riscos.

Fato é que auditorias periódicas em prestadores de serviços e o constante monitoramento das atividades de tratamento de dados pessoais se mostrarão parte fundamental da rotina das organizações que pretendam mitigar este tipo de risco, como parte de um programa de compliance.

Além disso, a forma de se lidar com incidentes de segurança também parece ser tema relevante para organizações que pretendam diminuir impactos relacionados a este tipo de situação. A resposta fornecida pela Delta, contatando individualmente cada cliente e oferecendo meios de mitigar riscos ou diminuir os danos, reflete o que estabelece o artigo 34 do RGPD.

É importante lembrar que o RGDP trouxe uma diferenciação no que diz respeito à comunicação de incidentes de segurança, exigindo a comunicação direta a titulares de dados somente em casos de “alto risco” a direitos e liberdades individuais. Neste caso, parece-nos claro o alto risco, tendo em vista informações como as de cartões de crédito e seus códigos de segurança, que foram objeto do incidente.

Por aqui, a LGPD não faz diferenciação entre os destinatários da comunicação, devendo o agente de tratamento comunicar tanto a Autoridade Nacional quanto os titulares de dados, sempre que identificar a possibilidade de relevante risco ou dano (art. 48).

Assim, possuir um procedimento adequado de resposta a incidentes é crucial à organização, devendo este procedimento ser capaz de avaliar não somente a extensão e severidade do dano, o que ensejará a necessidade ou não de comunicação, mas também quais as medidas posteriores precisam ser tomadas a fim de mitigar riscos e diminuir eventuais danos já suportados pelos titulares.

Em que pese o fator mais alarmante ser o relacionado aos impactos de um incidente de segurança, o caso em análise pode nos mostrar mais um ponto relevante com relação a “como será na prática”, o que nos leva ao segundo ponto de atenção: é comum – e até compreensível – o sentimento de que organizações menores não serão objeto de investigação ou demandas das autoridades.

Entretanto, é um fato que organizações menores que desejarem prestar serviços para organizações de médio e grande porte precisarão passar pela análise do próprio mercado, uma vez que padrões mais elevados já têm sido estabelecidos, raising the bar.

As exigências em processos de concorrência para prestadores de serviços envolvendo privacidade e proteção de dados parecem se tornar cada vez mais frequentes. Não são poucos os relatos de prestadores de serviços que foram submetidos a due diligences de diversos gêneros e formatos. Com o passar do tempo e com a incidência de exemplos tais quais o caso analisado, a tendência é que as exigências aumentem, de modo que meras declarações ou mesmo cláusulas contratuais não serão suficientes. A própria Lei de Liberdade Econômica alterou o Código Civil nesse ponto, ao prever que o comportamento das partes, posteriormente à celebração do contrato, deverá ser confirmado, como um critério de interpretação (art. 113, § 1º, I).

Em outras palavras, se o contrato for letra morta, de nada valerão as mais robustas cláusulas contratuais.

Portanto, prestadores que não se mostrarem capazes de demonstrar, na prática, adequação à LGPD e requisitos mínimos de garantia à proteção de dados e segurança da informação tenderão a sair em desvantagem em processos de concorrência. Após uma natural fase de assimetria informacional na relação (pré-)contratual, o mercado como um todo tenderá a selecionar os mais aptos.

Se, por um lado, para as grandes organizações contratantes de serviços, as auditorias e os processos operacionais mais eficientes se mostrarão um grande recurso de prevenção a riscos, na outra ponta, as organizações contratadas precisarão se mostrar aptas a responder e atender a este tipo de procedimento. Observando essa possível tendência, é razoável sustentar que auditorias e análises de risco, cada vez mais, terão lugares garantidos em cláusulas de direitos dos contratantes e mesmo de rescisão contratual.

A “perda de uma conta” por inadequação ou falha em auditoria do contratante parece se mostrar um fator superveniente à já tão discutida discussão da real aplicação da LGPD às organizações de menor porte, que não pode ser ignorado. Quem sobreviver, verá!


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito