Lições do caso Serasa e o vazamento de dados

Proteção de Dados

 

Com a Lei Geral de Proteção de Dados (LGPD) já em vigor e suas sanções prestes a vigorarem nos próximos meses, o Serasa Experience é réu numa ação civil pública de vazamento de dados de 223 mi brasileiros e 40 mi de CNPJ, ocorrido no início de 2021.

Na ação, o Instituo Sigilo pede indenização de R$ 15 mil para cada titular dos dados afetados; mais multa de R$ 200 mi a serem revertidos ao Fundo de Defesa de Direitos Difusos; o comunicado aos titulares com aviso de recebimento (AR), sob pena de multa diária de R$ 10 mil; a divulgação em redes sociais digitais sobre o ocorrido e suas medidas de solução; e claro, a aplicação imediata de medidas para retirar os dados vazados da internet.

A ação também cobra que a Autoridade Nacional de Proteção de Dados (ANPD) se manifeste nas investigações. O caso corre na justiça de São Paulo e em dado momento o Serasa alegou não ter indícios de que o vazamento tenha ocorrido no seu sistema.

Essas penalidades propostas na ação, são todas possíveis e pautadas pela LGPD. E desse caso tiramos algumas lições valiosas. Vejamos…

É preciso notar que as disposições da LGPD são reforço e alimento para aquelas do Código de Defesa do Consumidor – apoiado no Marco Civil da Internet – para que as empresas sejam penalizadas por falhas de segurança da informação e proteção de dados pessoais.

A responsabilidade pelo tratamento e pelo risco inerente é do encarregado de dados daquele que coleta. Do início ao fim do tratamento, independentemente da relação com terceiros. A responsabilidade do encarregado de dados começa no planejamento estratégico das coletas de dados de maneira a segurar que todo o processo de tratamento tenha ferramentas que garantam a segurança e correção de possíveis falhas. Tal como só termina depois da prova de exclusão dos dados a pedido do titular ou por término do período estipulado para o tratamento, ou ainda por cumprimento de ordem judicial.

As empresas maiores e com maior volume de dados, já são alvo de hackers e agora estarão mais em evidência tanto para os ataques quanto para as cobranças da sociedade e da justiça. O que não significa que as empresas com menor potencial de coleta e formação de banco de dados pessoais e sensíveis possam negligenciar ou não sejam cobradas. Pelo contrário! Até profissionais liberais que tratam dados pessoais são alvo de esquemas e correm riscos de fraude.

Seguindo as diretrizes da LGPD, podemos dizer que os empresários devem inserir nos processos de trabalho a cultura da proteção de dados, treinar seus pares para o correto e seguro tratamento, investir em tecnologias de segurança da informação e num programa de compliance capaz de evitar vazamentos e de corrigir caso aconteça.

Quer saber mais sobre Programa de Compliance? Clique para ler nosso material exclusivo.

 

O que você procura?

protecao-de-dados-na-saudeLPGD - Quando o consentimento não se aplica?