Incidentes com dados pessoais: qual é a responsabilidade da empresa?

Vazamento de dados de clientes, acesso indevido a informações de empregados, perda de dispositivos com cadastros armazenados: são situações que podem acontecer em qualquer empresa, independentemente do porte ou do setor.

A LGPD define como incidente de segurança qualquer evento que possa acarretar risco ou dano relevante aos titulares dos dados pessoais, e estabelece obrigações claras para o controlador (a empresa que decide como e por que os dados são tratados) quando isso ocorre.

A primeira obrigação é comunicar. O artigo 48 da LGPD determina que o controlador deve comunicar à ANPD e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A comunicação deve ser feita em prazo razoável (a ANPD recomenda até 3 dias úteis) e conter, no mínimo, a descrição da natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança adotadas, os riscos relacionados ao incidente e as providências tomadas para reverter ou mitigar os efeitos.

A responsabilidade da empresa, porém, vai além da comunicação. A LGPD adota o regime de responsabilidade civil objetiva nas relações de consumo: se o incidente causar dano ao titular, a empresa pode ser obrigada a indenizar independentemente de culpa, bastando a comprovação do dano e do nexo causal. Fora das relações de consumo, a responsabilidade depende da demonstração de que a empresa não adotou as medidas de segurança que razoavelmente se esperavam. Em ambos os casos, a existência de um programa de governança de dados, políticas de segurança da informação e plano de resposta a incidentes são elementos que podem atenuar, ou agravar, a posição da empresa.