É de competência da Autoridade Nacional de Proteção de Dados. CRÉDITOS: Divulgação
Essas medidas determinadas pela LGPD devem ser encaradas pelas empresas e entidades púbicas não
como mera burocracia
25-01-2025 às 11h52
Levindo Ramos*
A Lei Geral de Proteção de Dados – LGPD determina que os agentes de tratamento (controladores e operadores) devem adotar medidas de segurança, técnicas e administrativas que visem proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
É de competência da Autoridade Nacional de Proteção de Dados – ANPD dispor sobre padrões técnicos mínimos que possibilitem a segurança dos dados pessoais a fim de cumprir a determinação da LGPD.
É de importância fundamental entender que qualquer pessoa que intervenha em uma das fases do tratamento de dados pessoais, que não o controlador e o operador, é obrigada a garantir a segurança da informação, conforme previsto na LGPD, com as cautelas próprias, inclusive após o termino do tratamento.
É obrigação do controlador comunicar à ANPD e ao titular dos dados qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Essa comunicação deve seguir algumas diretrizes, como ser feita em prazo razoável, devendo mencionar, no mínimo, a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; os riscos relacionados ao incidente; os motivos da demora em comunicar, caso ocorra; as medidas adotadas para mitigar ou reverter os efeitos do prejuízo.
A ANPD pode determinar como providências a serem adotadas pelo controlador a ampla divulgação do fato em meios de comunicação e medidas de reversão ou mitigação dos efeitos do incidente, a depender a avaliação da gravidade do incidente e para a resguardar os direitos dos titulares.
Para essa avaliação a ser realizada pela ANPD será considerada a comprovação de medidas técnicas e de segurança adotadas pelo controlador (entidades públicas ou privadas) a fim de proteger os dados de acesso indevido.
Dessa forma, controlador e operador devem se atentar para que os sistemas utilizados para o tratamento de dados pessoais sejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança estabelecidos na LGPD.
Essas medidas determinadas pela LGPD devem ser encaradas pelas empresas e entidades púbicas não como mera burocracia. É importante entender que, ao adotar essas medidas de segurança e as previsões legais, os agentes de tratamento de dados (controladores e operadores) estarão buscando resguardar suas entidades das responsabilidades decorrentes do uso indevido e ilegal dos dados pessoais por elas tratados.
Como a ANPD, administrativamente, e o Judiciário, judicialmente, analisarão as medidas de segurança adotadas, estabelecer programas de governança e implantação da LGPD tornam-se essenciais para mitigar os riscos envolvidos com a gestão, seja pública ou privada, de modo a delimitar as responsabilidades e, portanto, os danos e eventuais reparações deles decorrentes.
*Mestre e Doutor em Direito pela UFMG, Professor e Advogado, Consultor na área de Governança
Algorítmíca e LGPD.
