Aprenda dois passos essenciais da conformidade à LGPD com um caso prático.

Uma prestadora polonesa de serviços de telecomunicações foi responsabilizada pelo vazamento de dados pessoais de mais de 100 mil clientes. Entre os dados acessados por terceiros não autorizados constavam, por exemplo, identidade. Na investigação, a autoridade de dados polonesa (UODO) descobriu que a empresa não conduzia avaliações abrangentes e regulares da eficácia das medidas técnicas e organizacionais de garantia da segurança do tratamento de dados, tendo realizado o último teste em 2018.

Além disso, constataram-se falhas na elaboração da matriz de risco da empresa, tendo alguns riscos sido subestimados. Apesar de ter um Sistema de Gestão de Segurança da Informação estruturado em vigor, a investigação concluiu que o controlador descumpriu os deveres de: integridade e confidencialidade; adotar medidas técnicas e organizacionais capazes de demonstrar que o tratamento de dados está em conformidade com a GDPR; implementar medidas de segurança desde a estruturação do projeto; assegurar, durante todo o processo de tratamento, a manutenção dos requisitos básicos de segurança da informação (confidencialidade, integridade e disponibilidade); e testes periódicos das medidas de segurança, as quais devem ser proporcionais aos riscos do tratamento de dados. Aqui no Brasil, referidos princípios equivaleriam a violações aos princípios da segurança, prevenção e prestação de contas.

Como agravantes da penalidade imposta, considerou-se: a natureza e gravidade da infração, associada ao número de pessoas cujos dados foram acessados por terceiros (mais de 100 mil pessoas); a duração da violação do direito à privacidade (desde 2018); extensão do dano sofrido (de posse dos dados vazados, pode-se, por exemplo, infligir perdas financeiras aos titulares dos dados) e a negligência da empresa em não testar o sistema. Como atenuantes, ponderou-se que a empresa controladora cooperou com a Agência de Proteção de Dados Polonesa e acatou suas determinações.

A partir desse caso, podemos perceber que uma etapa necessária do projeto e posteriormente do processo de conformidade à LGPD é o estabelecimento de políticas de testes de segurança periódicos feitos por indivíduos que não elaboraram as diretrizes de segurança, bem assim ser o mais honesto possível na elaboração da matriz de risco da empresa. Afinal, é a partir dela que são estabelecidas as medidas de segurança adequadas para a exposição de risco enfrentada pela empresa. Uma avaliação de risco negligente certamente levará a subestimar os riscos envolvidos no tratamento de dados e, possivelmente, o agravamento das sanções impostas, além de constituir uma prova do descaso da empresa envolvida com a segurança dos dados de seus clientes e com a própria segurança cibernética, diminuindo sua atratividade econômica para as outras empresas.