PRIVACIDADE DE DADOS PESSOAIS NO CANADÁ: O QUE PODEMOS APRENDER COM UM MERCADO DE ALTA TECNOLOGIA

O Canadian Office of the Privacy Commissioner (“OPC”), que é a Agência Canadense de Privacidade de Dados, concluiu no final de 2019 uma investigação direcionada de registros de violação de dados em um número seleto de organizações. Segue abaixo a conclusão do OCP a respeito do mercado Canadense:

Geralmente, as empresas auditadas já tinham programas de violação em vigor.

• 40% dos registros de violação não continham informações suficientes para avaliar o “Risco Real de Dano Significativo” (“RROSH”).
• 39% das violações registradas foram causadas por erro humano.
• 20% dos registros de violação refletiram violações não relatadas que poderiam ter sido relatadas de acordo com a PIPEDA (Legislação de Proteção de Dados Canadense). Ou seja, o processo específico para avaliar os danos não estava em conformidade.
• 5 de 7 empresas avaliaram o RROSH usando uma ferramenta de verificação.
• Geralmente, com relação às avaliações de relatórios, o conteúdo da violação estava sendo analisado e o contexto da violação não estava sendo levado em consideração.
• Apenas 1 em 7 organizações tinha uma estratégia de retenção de registros de violação. Observamos que os Regulamentos da PIPEDA exigem um período de retenção de 24 meses após a ocorrência da violação.
• Algumas organizações confiaram erroneamente no privilégio “cliente-advogado” e não forneceram registros completos. Observamos que, embora o privilégio possa ser aplicável, as organizações ainda devem manter informações suficientes em seus registros para cumprir os Regulamentos da PIPEDA.

Essas descobertas resultam em uma série de aprendizados importantes para as organizações, quais sejam:

Analise os “pontos cegos”: sua organização pode ter uma estrutura de conformidade sólida, mas pode não estar capturando todas as fontes potenciais de violações de dados.

O risco de violação de dados é um trabalho de equipe: o gerenciamento do envolvimento com profissionais de privacidade e seu departamento de TI garantirá um programa mais abrangente e avaliação de risco adequada e eficiente. O OPC irá cobrar multas por descumprimento. Dado que os requisitos de violação de dados já estão em vigor há quase 2 anos, as expectativas em torno da conformidade provavelmente aumentarão ainda mais em termos da gravidade de uma violação que requer divulgação, bem como as repercussões por falha em manter registros adequados.

Monitore e melhore seu programa: como dito acima, o OPC espera que as organizações avaliem se houve um relato insuficiente/excessivo de incidentes para garantir que a avaliação de risco apropriada esteja em vigor

O contexto é importante: o contexto da violação, não apenas o conteúdo das informações violadas, é importante para tomar a decisão de relatar ou não. Mesmo que a mesma informação possa ter sido violada em duas situações diferentes, o contexto da violação pode fazer com que em uma instância a violação deva ser relatada e na outra não.

Educar e treinar: as organizações precisam treinar a equipe para que os incidentes possam ser atendidos de forma adequada.