Apostila Módulo V

•

SIN SIGLA

erick teixeira

04/06/2023

Prévia do material em texto

Curso para Coordenador de
Proteção de Dados Pessoais - DPO

São Paulo 2021
Fenabrave – Federação Nacional da Distribuição de Veículos Automotores
Professor Alexandre Rodrigues Atheniense
Curso 5 – DPO na prática

Alexandre Rodrigues Atheniense é advogado formado pela
Universidade Federal de Minas Gerais (UFMG), especialista em Internet
Law pelo Berkman Center – Harvard Law School – e sócio fundador do
escritório de advocacia Alexandre Atheniense Advogados. Com
experiência profissional de 32 anos, é um dos precursores do Direito
Digital no Brasil. Possui vasta experiência acadêmica e institucional,
tendo exercido por oito anos (2002-2010) a presidência da Comissão
de Tecnologia da Informação da OAB Federal, representando a
entidade na discussão de projetos de lei no Congresso Nacional sobre
temas relacionados à tecnologia da informação. É coordenador da
Comissão de Direito Digital do Centro de Estudos das Sociedade de
Advogados (CESA); árbitro em questões relacionadas à propriedade
intelectual e tecnologia da informação na Competição Brasileira de
Arbitragem (CAMARB), Câmara Mineira de Arbitragem (CAMINAS) e
Associação Brasileira da Propriedade Intelectual (ABPI). É autor de
diversas obras sobre Direito Digital no Brasil e no exterior.
Colaboradores: Lorenzzo Antonini Itabaiana e Adriana Bessone Sadi

Sumário

Apresentação

1. DPO e órgãos fiscalizadores

2. DPO e incidentes de segurança da informação

3. DPO e Política de Privacidade

4. DPO e cyber insurance

Bibliografia

Apresentação

O curso DPO na prática compõe o módulo 5 do curso Coordenador de
proteção de dados pessoais (DPO), oferecido pela Fenabrave em cinco
partes distintas e independentes. O objetivo geral é capacitar os
envolvidos no processo de tratamento desses dados, por meio de
conteúdo teórico e prático, preparando-os para o desafio da jornada
de governança corporativa.
Neste curso, capacita-se o DPO para atuar de forma eficaz na proteção
de dados pessoais, considerando-se aspectos relevantes tais como
incidentes de segurança da informação, cyber insurance, entre outros.
Os participantes devem assistir às aulas gravadas em vídeo, ler o
conteúdo explicitado na apostila e ouvir o podcast disponível.
Sugerimos, ainda, que consultem fontes indicadas na bibliografia
constante no final deste material. Na sequência, devem responder ao
questionário de avaliação, que permite a revisão dos principais pontos
abordados.

DPO e órgãos fiscalizadores

1. DPO e órgãos fiscalizadores

Ao contrário do que se pressupõe, a Lei Geral de Proteção de Dados
(LGPD) não é a única a tratar da privacidade e proteção de dados no
Brasil. Antes da sua entrada em vigor, existiam mais de 40 normas
esparsas que regulamentavam o tema, algumas delas demonstradas a
seguir:

Fonte: Privacy Hub

Assim, apesar de as instituições considerarem o mês de agosto de 2021
como limite para adequação à LGPD – quando as penalidades da Lei
estarão vigentes para aplicação pela Autoridade Nacional de Proteção

de Dados (ANPD) –, os riscos de condenação por violação de
privacidade já existiam, sendo aplicados por outros órgãos como o
Programa de Proteção e Defesa do Consumidor (PROCON), a Secretaria
Nacional do Consumidor (SENACON) e o Ministério Público.

As competências da ANPD são muitas e estão previstas,
especificamente, no Artigo 55-J da Lei 13.709/18, compreendendo,
entre outras:

● o zelo pela proteção de dados pessoais, nos termos da
legislação;

● a elaboração das diretrizes para a Política Nacional de Proteção
de Dados Pessoais e da Privacidade;

● a fiscalização e aplicação de sanções em caso de tratamento
de dados realizado em descumprimento à legislação;

● a promoção do conhecimento de normas e políticas públicas
sobre proteção de dados pessoais e de medidas de segurança;

● a promoção e elaboração de estudos sobre as práticas
nacionais e internacionais de proteção de dados pessoais e
privacidade.

O Artigo 5 da LGPD é que define a Autoridade como responsável por
zelar, implementar e fiscalizar o cumprimento da Lei em todo o
território nacional. Trata-se de um órgão com autonomia técnica e
decisória, integrante da Presidência da República, que se junta aos
demais órgãos fiscalizadores, como o Instituto Nacional do Seguro
Social (INSS), a Receita Federal, a Vigilância Sanitária, a Secretaria da
Fazenda do Estado, a Secretaria da Fazenda do Município etc.

Podem ocorrer situações em que essas entidades precisem atuar de
forma conjunta, coordenando atividades nas respectivas esferas de
atuação, para assegurar o cumprimento de suas atribuições com mais
eficiência e promover o adequado funcionamento dos setores
regulados.

Para alcançar o objetivo de governança pretendido, o encarregado pelo
tratamento de dados pessoais (DPO) deve exercer um papel
fundamental na interlocução com a ANPD e com os demais órgãos
fiscalizadores atuantes. Aliás, a definição desse profissional na LGPD
evidencia sua importância como comunicador: ele é o “canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD)”.

A fiscalização e a regulação da Lei pela ANPD devem garantir a
proteção do cidadão, sendo a Autoridade um elo entre sociedade e
governo, o que torna o DPO um ponto focal. A LGPD, em seu Artigo
41, parágrafo 2, inciso II, estabelece que esse profissional deve
“receber comunicações da Autoridade Nacional e adotar providências.
No parágrafo 3, observa:

a Autoridade Nacional poderá estabelecer normas complementares
sobre a definição e as atribuições do encarregado, inclusive hipóteses
de dispensa da necessidade de sua indicação, conforme a natureza e o
porte da entidade ou o volume de operações de tratamento de dados.

Nas comunicações com a ANPD e os demais órgãos fiscalizadores, o
DPO deve apresentar soft skills, que consistem em habilidades
sociocomportamentais, associadas à capacidade de lidar com emoções.
As hard skills – relativas a habilidades que podem ser aprendidas e
quantificadas – não equivalem exatamente a um diferencial.

Mas esse profissional não deve atuar de forma isolada, especialmente
em caso de incidentes e situações de crise. Ele deve apoiar-se em uma
equipe técnica multidisciplinar, em um plano de contingenciamento e
também em um plano de resposta a incidentes, garantindo uma reação
rápida e ordenada no cumprimento de suas obrigações.

Ainda sobre a interlocução com a ANPD, o DPO pode comprovar que
sua organização adotou medidas preventivas no tratamento de
informações, por meio de registros atualizados dos fluxos de
tratamento, elaboração do Relatório de Impacto à Proteção de Dados
Pessoais (RIPD), verificações periódicas (auditoria) e elaboração de
Testes de Legítimo Interesse (Legitimate Interest Assessment – LIA).
O órgão máximo da Autoridade é o Conselho Diretor e é ele que
estabelece as atribuições do DPO, como define o Decreto 10.474/2020.
Contudo, não há ainda a regulamentação de suas funções.

Em 27 de janeiro de 2021, foi divulgada, na Portaria nº 11/2021, a
agenda regulatória da ANPD para o biênio 2021-2022, a qual se divide
em três fases:

● fase 1 – iniciativas da agenda cujo início do processo
regulatório acontecerá em até um ano;

● fase 2 – iniciativas da agenda cujo início do processo
regulatório acontecerá em até um ano e seis meses;

● fase 3 – iniciativas da agenda cujo início do processo
regulatório acontecerá em até dois anos.

De acordo com a referida Portaria, a agenda tem um conteúdo
extremamente relevante, já que “é uminstrumento de planejamento
que agrega as ações regulatórias consideradas prioritárias e que serão

objeto de estudo ou tratamento pela Autoridade durante sua vigência”.
Nessa perspectiva, é de suma importância para as atividades do DPO,
que deve conhecer as fases e os respectivos temas em pauta para
regulamentação:

Item Tema Priorização Previsão de início do
processo de
regulamentação
1º/20
21
2º/20
21
1º/20
22
2º/20
22
1 Regimento Interno da
ANPD
Fase 1 X
2 Planejamento
Estratégico da ANPD
Fase 1 X
3 Proteção de dados e da
privacidade para
pequenas e médias
empresas, startups e
pessoas físicas que
tratam dados pessoais
com fins econômicos
Fase 1 X
4 Direitos dos titulares
de dados pessoais
Fase 3 X
5 Estabelecimento de
normativos para
aplicação do Art. 52 e
seguintes da LGPD
Fase 1 X
6 Comunicação de
incidentes e
especificação do prazo
de notificação
Fase 1 X
7 Relatório de Impacto à
Proteção de Dados
Pessoais (RIPD)
Fase 1 X
8 Encarregado pelo
tratamento de dados
pessoais
Fase 2 X
9 Transferência
internacional de dados
pessoais
Fase 2 X

10 Hipóteses legais de
tratamento de dados
pessoais
Fase 3 X

Fonte: Portaria n° 11/2021 (adaptado)

No item 8 (grifo nosso), observamos que a regulamentação referente
às atividades do encarregado pelo tratamento de dados será
normatizada, por meio de Resolução, durante a fase 2, prevista para o
primeiro semestre de 2022.

Na interlocução com a ANPD, o DPO deverá, ainda, inteirar-se dos
procedimentos a serem adotados na aplicação de sanções
administrativas. O Artigo 52, parágrafo 1, da LGPD preceitua que as
sanções serão aplicadas após procedimento administrativo que
possibilite a oportunidade da ampla defesa, de forma gradativa, isolada
ou cumulativa, com base nas peculiaridades do caso concreto,
considerando-se os critérios e os parâmetros enumerados no parágrafo
mencionado.

Ainda há muito a ser regulamentado, mas, em princípio, deve ser
observada a Lei de Processo Administrativo (nº 9.784/99), que dispõe
sobre normas básicas para o processo administrativo no âmbito da
Administração Federal direta e indireta. Não é necessário que o
encarregado domine todas as legislações, entretanto ele deve ter
conhecimento mínimo generalista para tomar decisões estratégicas de
forma mais segura e consciente.

DPO e incidentes de
segurança da informação

2. DPO e incidentes de segurança da informação

Antes de tratarmos de incidentes propriamente ditos, delimitaremos os
conceitos de tecnologia da informação e segurança da informação.

A tecnologia da informação (TI) é o conjunto de todas as atividades e
soluções providas por recursos de computação que visam a produção,
o armazenamento, a transmissão, o acesso, a segurança e o uso das
informações, relacionando-se a aspectos operacionais internos.

A segurança da informação, por sua vez, é a proteção de um conjunto
de informações corporativas ou pessoais, preservando o valor que
possuem para a instituição. Suas propriedades básicas são:
confidencialidade, integridade, disponibilidade, autenticidade e
legalidade.

As duas atividades são aglutinadas em um profissional do setor de TI,
o que prejudica o trato com incidentes de segurança, que exige um
profissional especializado, com funções específicas. A LPGD não explica
claramente em que consiste esse tipo de incidente, mas dispõe, em
seu Artigo 46, que medidas técnicas e administrativas devem ser
adotadas para proteger informações de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os itens apontados pela Lei brasileira são justamente os mencionados
na General Data Protection Regulation (GPDR), que apresenta o
incidente como uma violação de segurança que conduz à destruição,
perda, alteração, divulgação ou acesso não autorizado, de maneira
acidental ou ilícita, de dados pessoais transmitidos.

A noção de incidente evidenciada aqui se aplica ao conjunto de ativos
digitais que a organização deseja preservar e que não se encaixam no
conceito de dados pessoais, tais como planilhas de faturamento,
estratégias comerciais, segredos industriais etc.

Na doutrina, incidentes de segurança classificam-se de acordo com as
três principais propriedades básicas da segurança da informação –
confidencialidade, integridade e disponibilidade, conforme
demonstrado abaixo:

Incidentes de confidencialidade Há divulgação ou acesso, acidental
ou não autorizado, de dados
pessoais.
Incidentes de integridade Há alteração, acidental ou não
autorizada, de dados pessoais.
Incidentes de disponibilidade Há perda de acesso ou destruição,
acidental ou não autorizada, de
dados pessoais.

Fonte: Autor

Os cenários não são rígidos e podem mesclar-se entre si, com base no
nível de sofisticação do ataque ou do incidente.

Na sociedade contemporânea, em que informações pessoais circulam
massivamente (mas nem sempre contam com proteção adequada), a
maior parte das empresas está sujeita a ataques cibernéticos. É
essencial, então, que o encarregado pelo tratamento desses dados
adote as medidas necessárias para evitar e aplacar riscos. A LGPD, em
seu Artigo 48, exige que o DPO comunique a ANPD e o titular dos
dados, em prazo razoável, sobre a ocorrência de incidentes de
segurança que possam acarretar riscos potenciais ou danos relevantes.
Ele deve mencionar, no mínimo:

● a natureza dos dados pessoais (comuns ou sensíveis);

● a identificação dos titulares afetados;

● as medidas de segurança e de contingenciamento utilizadas
para a proteção dos dados.

Reiteramos que o enfrentamento de incidentes de segurança da
informação não se resume a quesitos técnicos de TI e realiza-se, pelo
menos, em três fases:

● investigativa: envolve a atuação de profissionais de
tecnologia da informação logo após ou durante o incidente para
identificação do problema (ex.: técnicas/ferramentas de análise
de segurança e comportamentos anômalos); contenção do
incidente (ex.: retirada de um serviço afetado) e implementação
do plano de recuperação do ambiente (ex.: restabelecimento de
alguma informação comprometida por meio de backups,
instalação/ativação de equipamentos reserva);

● jurídica: contempla a atuação de profissionais da área jurídica,
tais como advogados, trainees, estagiários, e compreende
medidas judiciais ou extrajudiciais, comunicação formal com a
ANPD sobre a existência do incidente e acompanhamento dos
respectivos desdobramentos jurídicos;

● comunicativa: abrange profissionais de jornalismo,
publicidade, relações públicas, linguística, etc., responsáveis por
comunicar ao público externo a existência do incidente. O intuito
é minimizar os efeitos do ataque à reputação institucional.

Na condução de ações diante de imprevistos que impactem
negativamente a organização, o Plano de Resposta a Incidentes é um
documento importante para manter a continuidade operacional. Na

área de tecnologia, o documento é imprescindível, como veremos logo
abaixo, e nas demais áreas é fundamental para que a produtividade do
negócio se mantenha uniforme.

O Plano de Resposta a Incidentes de segurança auxilia o DPO na
identificação, mensuração e correção rápida de erros oriundos de
eventos adversos, que possam comprometer as propriedades básicas
da segurança da informação: confidencialidade, integridade,
disponibilidade, autenticidade e legalidade.

Para tanto, ele deve conhecer a infraestrutura de TI, bem como
classificar e avaliar corretamente os riscos operacionais existentes.
Vale dizer, porém, que a contençãode um incidente cibernético pode
ser um desafio para muitas instituições e uma tarefa bastante
complexa para o encarregado de proteção de dados: medidas
imediatas são exigidas para atenuar as ameaças às propriedades
básicas da segurança da informação e seus ativos, especialmente
quando se trata de pessoas físicas identificadas ou identificáveis.

As ameaças hoje são inúmeras e podem ser internas, externas ou
naturais como, por exemplo, uma tempestade ou o rompimento de
uma barragem. Até ações inocentes como o simples ato de abrir um
documento infectado recebido por e-mail tem o potencial de causar
perdas financeiras significativas, arruinar uma reputação e tornar
negócios inviáveis. Por isso, incidentes de segurança cibernética devem
ser constantemente gerenciados. Entre os objetivos desse
gerenciamento, destacam-se:

● prevenção de incidentes dessa natureza antes de sua
concretização;

● diminuição do impacto dos incidentes para a confidencialidade,
disponibilidade e integridade dos serviços ativos de informação;

● redução de vulnerabilidades;

● diminuição de custos diretos ou indiretos;

● identificação e correção eficaz do problema;

● tratamento de falhas com padrão unificado de qualidade;

● manutenção de um bom padrão de desempenho;

● emprego de medidas que melhorem a confiabilidade da
infraestrutura.

A ilustração a seguir elucida as etapas presentes na cadeia de um
incidente de segurança cibernética:

Fonte: Autor

O time de resposta a incidentes deve ser muito bem preparado e pode
ser estruturado em forma de um comitê, cuja designação deve ser
revista anualmente, mantendo-se a adequação de sua composição. O
grupo deve contar com, pelo menos, um integrante da liderança de
cada área e, no mínimo, dois diretores, os quais podem ser os

mediadores, além de um gerente de segurança da informação. Um
comitê de crises pode contar, também, com a presença de outros
membros, de acordo com as particularidades do cenário de crise.

Segundo a Information Commissioner’s Office (ICO) – órgão de
proteção de dados do Reino Unido similar à ANPD –, a notificação de
um incidente só deve ocorrer se resultar em alto risco para os direitos
e a liberdade dos titulares. Em outras palavras, nem todos devem ser
notificados, a menos que haja dúvida sobre seus impactos – situação
em que, no Brasil, a ANPD deve ser comunicada.

A Autoridade deve avaliar a natureza, a gravidade e as consequências
do incidente; o número de titulares afetados; as jurisdições impactadas
e os efeitos adversos. Poderá determinar, ainda, que o controlador
adote medidas adicionais como, por exemplo, a ampla divulgação do
episódio em canais de comunicação.

Alguns procedimentos são avaliados positivamente pela ANPD no
momento de aplicar eventual sansão: a adoção de medidas técnicas
preventivas e de procedimentos internos capazes de minimizar o dano;
o estabelecimento de política de boas práticas e de governança; a
adoção de medidas corretivas, com especial atenção do DPO.

DPO e Política de
Privacidade

3. DPO e Política de Privacidade

A LGPD tem como uma de suas principais premissas a transparência
na jornada da conformidade, no que diz respeito ao tratamento dos
dados pessoais. Nesse viés, distinguimos, de modo geral, a Política de
Segurança da Informação (PSI) – delineada no tópico anterior – da
Política de Privacidade (PDP) no que se refere à sua aplicação e,
obviamente, à apresentação de seus conteúdos. Enquanto a PSI se
volta para o ambiente interno, direcionando-se para clientes e
prestadores de serviços de forma sigilosa, a PDP dirige-se ao ambiente
externo, devendo ser publicizada para que todos tenham ciência sobre
como é realizado o tratamento de dados pessoais, em obediência ao
princípio da transparência.

Ao validar a Política de Privacidade, o DPO deve constatar a presença
mínima obrigatória de determinados itens, tais como:

● identificação do controlador e, se houver, identificação do
operador dos dados;

● descrição das informações pessoais tratadas;

● descrição das finalidades do tratamento, sem omissão ou
possibilidade de interpretação por analogia;

● modo de armazenamento dos dados;

● medidas de segurança adotadas;

● direitos dos titulares;

● canais de comunicação entre público externo e instituição;

● data de atualização da versão mais recente.

A PDP deve ser um documento completo e transparente, elaborado
com linguagem simples, clara e objetiva, refletindo a cultura
organizacional sobre a proteção de dados, para gerar uma relação de
confiança com o usuário. Não se trata de um produto estático, pois
exige customização e constante atualização. Conforme explica
Maldonado (2019, p. 149),

uma declaração (Disclaimer) deve ser disponibilizada e esclarecida na
política a fim de que o usuário/cliente tenha ciência dos itens que eles
estão coletando dos visitantes. [...] Nesse caso, a empresa opta por
coletar dados pessoais quando você se cadastra nos sites, solicita
informações, adquire produtos ou serviços, fornece produtos ou
serviços, envia um currículo, comenta ou participa de alguma
promoção, pesquisa ou outro recurso dos sites, ou ao se comunicar ou
interagir com a empresa.

Os sites também podem pedir para que você forneça outros dados
pessoais a seu respeito, como dados demográficos (sexo, CEP, idade
etc.) ou determinadas informações sobre as suas preferências, uso do
produto e interesses.

A Política de Privacidade pode apresentar itens com base nas
categorias de titulares envolvidos, maximizando a compreensão dos
termos específicos e das atividades rotineiras que tratam dados
pessoais. Como exemplo, vejamos como se configura a Política do
grupo Fiat Chrysler Automóveis Brasil Ltda.:

Fonte: https://www.fiat.com.br/politica-de-privacidade.html/
Acesso em 01.02.21

Embora não faça parte do conjunto, a Política de Cookies poderia ser
contemplada na PDP. Cookies, como sabemos, são pequenos arquivos
de computador ou pacotes de dados enviados por um site para o
navegador do usuário em sua visita a uma página específica. Eles têm
múltiplas funções, mas geralmente são usados para prestar
determinados serviços ou enviar ofertas, podendo coletar informações
anônimas sobre como o indivíduo acessou os sites, qual foi o seu tempo
de permanência, que áreas foram acessadas etc.

Os principais players do mercado – em especial os que têm negócios
na União Europeia, e, portanto, estão há mais de dois anos sujeitos à
GDPR – isolam a Política de Cookies da Política de Privacidade, para
possibilitar a customização de quais cookies são autorizados pelo
usuário ao navegar nos sites. Vejamos, a seguir, o exemplo da Volvo
Car Group:

Fonte: https://www.volvocars.com/br/footer/privacidade
Acesso em 01.02.21

Ao clicarmos em Definições dos cookies, o site permite-nos visualizar
e ativar/inativar todos eles por categoria (estritamente necessários, de
desempenho, funcionais, dirigidos para publicidade, entre outros) e
exibe-os também em linguagem técnica:

Fonte: https://www.volvocars.com/br/footer/privacidade

Os exemplos acima representam disclaimers sobre cookies de
empresas do setor automotivo e demonstram como têm enfrentado as
obrigações da LGPD. No entanto, ainda que tais ilustrações sirvam
como lição e direcionamento, não podem jamais ser reproduzidas
aleatoriamente, para que não se configure uma violação à propriedade
intelectual. Afinal, tais cookies foram produzidos para um contexto
específico, tanto de tratamento de informações pessoais quanto de
tecnologias utilizadas.

Destacamos, por fim, que as entidades mencionadas, de renome
mundial, têm a obrigação de observar várias legislações sobre proteçãode dados, em especial a GDPR. Isso quer dizer que a elaboração de
uma Política de Privacidade por uma instituição brasileira deve
considerar não somente a LGPD, mas todas as outras legislações dos
países com os quais pretende realizar negócios.

Apesar de existir há anos, a PDP tem sido negligenciada. Agora, porém,
assume papel relevante com a vigência da Lei, ao que deve estar
atento o DPO.

DPO e cyber insurance

4. DPO e cyber insurance

A LGPD não proporcionou apenas o aquecimento do mercado de
seguros cibernéticos (cyber insurances), mas também potencializou a
procura pelo seguro D&O (Directors and Officers Liability Insurance).
Trata-se de um seguro de responsabilidade civil que protege o
patrimônio de altos executivos, preocupados com possíveis processos
abertos por pessoas físicas, relacionados ao vazamento de dados
pessoais nas empresas em que atuam como gestores.

Por mais que a entidade adote todas as medidas de precaução,
reduzindo lacunas operacionais e adotando uma Política de Segurança
da Informação eficaz, incidentes têm sido cada vez mais recorrentes.
Logo, é altamente recomendável que a instituição se resguarde,
utilizando todos os meios disponíveis para minimizar riscos e perdas
oriundos de eventuais incidentes de segurança da informação e
proteção de dados.

Ilustremos a importância de proteção com o episódio da National
Security Agency (NSA), órgão norte-americano que contrata vários
profissionais de segurança da informação e que foi vítima de incidente
de segurança no caso Edward Snowden. Nessa situação, uma única
apólice pode apresentar múltiplas coberturas, dirigidas para públicos
distintos: um voltado para a própria empresa em relação a Erros e
Omissões (E&O) e o outro voltado para a proteção do patrimônio
pessoal de diretores, membros do conselho, entre outros (D&O), como
mencionado anteriormente.

Independentemente do seguro escolhido, salientamos que ele não
basta como medida protetiva, pois outras providências referentes à
governança devem ser adotadas para garantir a segurança de dados.

Em relação às concessionárias de veículos, apresentamos a seguir
algumas coberturas a serem contempladas:

● responsabilidade por perda ou eliminação de dados pessoais ou
corporativos;

● responsabilidade perante organizações terceirizadas;

● ressarcimento das medidas emergenciais a serem adotadas
logo após os incidentes;

● ressarcimento de custos de restituição da imagem empresarial;

● ressarcimento de custos de investigação forense;

● ressarcimento de custos imediatos de melhoria de softwares e
hardwares em decorrência do incidente;

● cobertura de custos relativos à indisponibilidade de sistemas,
como os gerados por ataques de ransomwares;

● cobertura de honorários advocatícios.

Quanto à cobertura de aplicação de multas e penalidades pelos órgãos
fiscalizadores – que deve ser avaliada com base no valor da apólice –,
devemos considerar que, entre as sanções previstas na LGPD, está a
suspensão parcial do funcionamento do banco de dados ou a suspensão
do exercício da atividade de tratamento de informações pessoais pelo
período máximo de seis meses, prorrogável por igual período, bem
como a proibição parcial ou total do exercício de atividades
relacionadas ao tratamento. Os lucros cessantes decorrentes dessa
paralisação devem constar na apólice, já que, mais do que uma multa

pecuniária, a suspensão das atividades pode ultrapassar o teto de R$
50.000.000,00 de multa por infração.

Pinto (2020) observa que o DPO deve estar atento aos parceiros com
acesso a dados pessoais sensíveis e salienta que seu compartilhamento
deve ser precedido por uma Política de Compartilhamento: o
documento pode exigir, entre outras garantias, que os parceiros
contratem um seguro cuja apólice contemple o vazamento de dados.

Como um incidente de segurança da informação pode estar relacionado
a fraudes cibernéticas, valendo-se de técnicas de engenharia social ou
de extorsão, o seguro também pode realizar essa cobertura. Contudo,
por não ser uma modalidade muito difundida no Brasil, as seguradoras
apresentam suas propostas apenas mediante processo anterior de
auditoria interna e externa.

Pinto (2020) também ressalta que a taxa média de custo dos seguros
cibernéticos está entre 1% e 2% do Limite Máximo de Garantia (LMG),
o que significa que uma apólice com LMG de R$ 5 milhões pode custar
em torno de R$ 50 mil por ano. Esse valor varia de acordo com o porte
da empresa, seu ramo de atuação, seus sistemas de segurança da
informação, os tipos de coberturas contratadas etc. Se comparada às
cifras que as multas administrativas podem atingir, a quantia não é
significativa e deve ser considerada pelo encarregado de proteção de
dados na jornada de adequação à LGPD.

A adoção dessas medidas demonstra o compromisso institucional com
a proteção dos dados pessoais, o que, como já dissemos, é
extremamente bem visto pela ANPD, devendo ser objeto de análise
cuidadosa do DPO.

Conclusão

Apesar de a função do DPO exigir características técnicas
multidisciplinares e sólida formação teórica, a nova profissão apresenta
um leque de possibilidades em um mercado extremamente competitivo
e promissor, mas carente de bons profissionais. Se você pretende ser
um bom encarregado de proteção de dados, deve manter-se
atualizado, em razão da dinamicidade exigida na realização de
atividades e da falta de regulamentação em diversos aspectos deste
tema.

Bibliografia

LUCIANO, Maria. Vazamentos de dados na LGPD: em busca do
significado de “incidentes de segurança”. Revista do Advogado, v. 39,
n. 144, p. 163-167, 2019.

MALDONALDO, Viviane Nóbrega. Lei Geral de Proteção de Dados
Pessoais: manual de implementação. São Paulo: Thomson Reuters
Brasil, 2020.

PINTO, Claudio Macedo. Cyber insurance e seguro para DPO. In: Opice
Blum, Renato; Vainzof, Rony; Moraes, Henrique Fabretti (coords.).
Data Protection Officer (Encarregado). Teoria e prática de acordo com
a LGPD e o GDPR. São Paulo: Thomson Reuters Brasil, p. 331-361,
2020.

SOMBRA, Thiago Luís; CASTELLANO, Ana Carolina Heringer. Plano de
respostas a incidentes de segurança: reagindo rápido e de forma
efetiva. Revista do Advogado, v. 39, n. 144, p. 168-173, 2019.

Conteúdo complementar

CANAL DR. STARTUP. Política de privacidade e LGPD. 23.05.20.
Disponível em: https://www.youtube.com/watch?v=etcZyLBrcEg
Acesso em: 01.02.21.
CANAL FALA BRASIL. Nova política de privacidade do WhatsApp
obriga usuários ao compartilhamento de dados. 19.01.21. Disponível
em: https://www.youtube.com/watch?v=v9IZTK8vUwc Acesso em:
01.02.21.
CANAL TI. O que é tecnologia da informação – TI? S/d. Disponível
em: https://www.youtube.com/watch?v=PuwydNmz5QQ Acesso em:
01.02.21.
DONDA, Daniel. Por onde começar em segurança da informação?
Canal Daniel Donda. S/d. Disponível em:
https://www.youtube.com/watch?v=3MVrwuf0XO8 Acesso em:
01.02.21.

Nota: os conteúdos complementares aqui indicados são
demonstrações práticas de cursos, certificações e softwares
mencionados e não configuram indicação de aquisição ou compra. O
autor não possui quaisquer relações comerciais com as marcas que
porventura sejam replicadas nos vídeos postados publicamente na
plataforma Youtube.