Por André Damiani e Blanca Albuquerque*
Artigo publicado originalmente no Estadão
O incidente de segurança envolvendo o vazamento de dados pessoais de 300 mil clientes da ENEL domiciliados no município de Osasco, vizinho a São Paulo, novamente ratifica a vulnerabilidade em que os sistemas operacionais brasileiros estão inseridos e a maneira como isso atinge diretamente a privacidade e proteção de dados pessoais dos cidadãos. A informação sobre o ataque hacker veio a público na segunda-feira (9).
Seguindo as orientações dispostas na Lei Geral de Proteção de Dados (LGPD), a ENEL comunicou aos titulares de dados sobre o incidente e informou que vazaram os seguintes dados: nome, CPF, RG, data de nascimento, idade, telefone fixo, telefone celular, e-mail, agência bancária e conta corrente do cliente, carga instalada, consumo estimado, tipo de instalação, leitura e endereço.
Entretanto, apesar da comunicação, é possível compreender o quão grave é o referido incidente, visto que a partir da exposição dos referidos dados pessoais, milhares de fraudes podem ocorrer envolvendo os titulares de dados que foram alvo do vazamento.
A LGPD, em vigor desde setembro, determina que em casos de incidente de segurança, o Controlador (que na LGPD tem o papel de tomada de decisões referentes ao tratamento de dados pessoais) deve informar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados, comunicando a natureza dos dados afetados; as informações sobre os titulares envolvidos; a indicação de medidas técnicas e de segurança utilizadas para a proteção dos dados; os riscos relacionados ao incidente; e as medidas que foram ou que serão tomadas para reverter ou mitigar os efeitos do vazamento.
Dizem, no âmbito do direito digital, que a questão correta a indagar não é “se” um incidente de segurança ocorrerá, mas sim “quando” ocorrerá. Contudo, os controladores devem envidar os melhores esforços para impedir que tal incidente aconteça, com a adequação à legislação em vigor, bem como por meio da adoção de políticas de governança de dados e a atuação de boa-fé, que é o que será parametrizado pela ANPD para a aplicação de sanções.
Ocorre que, apesar de a LGPD estar em vigor, as sanções administrativas estão suspensas até o próximo ano, bem como a ANPD ainda está em composição, limitando a plena eficácia, regulamentação e fiscalização dos dispositivos intrínsecos à lei.
Neste diapasão, se faz urgente a composição da ANPD para a disposição de preceitos regulamentares e fiscalização dos diversos incidentes de segurança como os que estamos presenciando ao longo da última semana.
*André Damiani, sócio-fundador do Damiani Sociedade de Advogados, é advogado criminalista especializado em Direito Penal Econômico e proteção de dados pessoais
*Blanca Albuquerque, associada do Damiani Advogados Associados, é advogada especializada em proteção de dados pessoais pelo Data Privacy Brasil