Prévia do material em texto
VAZAMENTO DE DADOS NO SETOR PRIVADO BRASILEIRO: A GESTÃO DO RISCO COMO PARÂMETRO PARA A RESPONSABILIDADE EMPRESARIAL Data breach in the Brazilian private sector: risk management as a parameter for corporate responsibility Revista de Direito e as Novas Tecnologias | vol. 7/2020 | Abr - Jun / 2020 DTR\2020\7817 Gabriel Araújo Souto Visiting Student do LLM de Global Antitrust Law & Economics da Antonin Scalia Law School of George Mason University. Diretor acadêmico do Laboratório de Políticas Públicas e Internet da Universidade de Brasília (LAPIN/UnB). gasouto@outlook.com. Área do Direito: Civil; Comercial/Empresarial Resumo: O presente artigo explica como a gestão de riscos pode mitigar a responsabilização de uma empresa por incidente de vazamento de dados. O trabalho apresenta doutrinas nacionais e internacionais sobre os métodos de gestão de riscos, considerando a responsabilidade civil bem como a imputabilidade da lei pátria quando tal incidente ocorre, e quais seriam os melhores esforços segundo a legislação brasileira para a empresa não ser responsabilizada, ou pelo menos, mitigar sua responsabilidade. Por fim, o estudo apresenta propostas de gestão de risco às empresas e métodos para redução ou eliminação da incidência da responsabilidade empresarial no tratamento de dados. Palavras-chave: Gestão de Risco – Vazamento de Dados – Responsabilidade Civil – Risco de Privacidade – Relatório de Impacto à Proteção de Dados Pessoais Abstract: This paper presents how risk management can mitigate a company's liability for data breach incidents. The article presents national and international doctrines on risk management methods regarding liability, as well as the imputability of Brazilian law when such an incident occurs and what would be the best efforts under the Brazilian law for the company not to be held responsible or at least to mitigate it. Finally, the study presents business risk management proposals and methods for reducing or excluding the incidence of corporate responsibility in data processing. Keywords: Risk Management – Data Breach – Civil Responsibility – Privacy Risk – Data Protection Impact Assessment Sumário: Introdução - 1. O risco de vazamento de dados - 2. A gestão do risco de vazamento de dados - 3. A responsabilidade empresarial em vazamento de dados no direito brasileiro - 4. Considerações finais - Referências bibliográficas Introdução O “risco” pode ser definido como a incerteza sobre a perda futura ou, em outras palavras, a incapacidade de prever a ocorrência ou o tamanho de uma perda, que pode acontecer de forma repentina ou inesperada (CRANE, 1980, p. 34). Além disso, o risco pode ser dividido em graus que quantificam, através da probabilidade, a extensão em que as perdas são previsíveis. Assim, se as perdas podem ser previstas com bastante precisão, há um pequeno grau de risco, independentemente da chance de perda, enquanto o grau de risco aumenta caso a previsão da perda não seja precisa. O entendimento de “risco” propicia que ferramentas para a diminuição ou controle de riscos sejam aplicadas por empresas, como o uso da lei dos grandes números, princípio probabilístico que afirma que à medida que o número de exposições aumenta, os resultados reais tendem a se aproximar dos resultados esperados (CRANE, 1980, p. 147). Em outras palavras, quanto maior o número de amostras, i.e. dados adicionados Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 1 em um experimento, maior sua probabilidade de atingir o resultado esperado. Tal princípio justifica a busca constante de empresas por dados pessoais, como as empresas de seguros, que através de uma maior amostra de segurados, podem conhecer melhor o seu mercado de atuação, seus próprios clientes e mensurar as taxas de sinistro, dessa forma, aumentando o prêmio e reduzindo a seleção adversa1 e o risco moral.2 Portanto, quanto mais a empresa conhece seu cliente e o mercado em que atua, maior a possibilidade de aumento da sua margem de lucro e do seu poder de mercado (STIGLITZ; WEISS, 1981, p. 393-394). No entanto, sob outra perspectiva, a obtenção e exploração de dados pessoais de consumidores por empresas privadas cria embates relacionados à privacidade que buscam balancear a relação business-to-consumer (B2C), o que eventualmente cerceia eventuais proveitos econômicos obtidos por meio de dados. A fim de remediar esse embate, há a intervenção do Estado que, com o seu poder regulador, define limites para a busca e uso de dados pessoais. Dessa forma, normas de proteção de dados pessoais começaram a ser demandadas, originando regulações como o General Data Protection Regulation (GDPR) e a Lei Geral de Proteção de Dados (LGPD), a fim da promoção de segurança ao consumidor sobre a gestão de seus dados por terceiros e também às empresas, sobre os requisitos objetivos de responsabilização de gestão indevida de dados, como nos casos de vazamentos de dados, que geram às empresas brasileiras um custo médio de U$ 1,35 milhão em 2019 (IBM SECURITY, 2019, p. 21). Nesse sentido, destaca-se o dever das empresas que tratam de dados pessoais de elaborar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), o qual exige uma análise minuciosa das medidas, salvaguardas e mecanismos adotados por tais empresas para mitigação de riscos de vazamento de dados, conforme positivado no art. 38, parágrafo único da LGPD. Sob esse contexto, adotar-se-á a metodologia de pesquisa qualitativa, mediante análises descritivas e explicativas, a partir de pesquisa bibliográfica, baseada nas principais doutrinas e bibliografias acerca da gestão de risco em vazamentos de dados para mitigação da responsabilidade empresarial. Ainda, analisar-se-á o Código Civil (LGL\2002\400) (CC (LGL\2002\400)) e a LGPD para verificar as condições de imputação de responsabilidade às empresas brasileiras por vazamento de dados, para que se proponha modelos de gestão e notificação de riscos com base na LGPD, a fim de promover a segurança jurídica no setor empresarial brasileiro. Por fim, o artigo foi dividido em cinco seções, além da primeira seção, ou seja, a introdução, e das referências bibliográficas. A segunda seção apresenta como o risco de vazamento de dados é definido e classificado. A terceira seção explica como acontece a gestão de riscos considerando o risco de vazamento de dados, quais são os critérios para mensurar tal risco, e os critérios práticos para mensurar o risco de vazamento de dados à luz de doutrina e do direito pátrio. A quarta seção elenca como é possível responsabilizar uma empresa por vazamento de dados no direito brasileiro, como a lei imputa tal incidente e quais seriam os melhores esforços para ela não responsabilizada. Finalmente, a quinta seção apresenta as considerações finais sobre o assunto e as propostas de gestão de risco às empresas para mitigar ou eliminar a incidência da responsabilidade empresarial na gestão de dados. 1. O risco de vazamento de dados Não há uma definição amplamente aceita de “risco” no campo de privacidade de dados. A LGPD também não define o conceito de “risco” e, em vez disso, oferece orientação interpretativa sobre o que pode constituir risco e dano aos indivíduos. Por exemplo, pode-se referir ao risco de um vazamento de dados, no entanto a violação de dados em si não necessariamente leva a danos para os titulares dos dados, mas se os dados são analisados, usados ou criptografados, ou se podem causar danos a eles se considerados o risco de perda de confidencialidade ou perda financeira (CIPL, 2016, p. 13). Na doutrina pátria temos que: Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 2 “O tratamento de dados pessoais, em particular por processos automatizados, é, no entanto, uma atividade de risco. Risco que se concretiza na possibilidade de exposição e utilização indevida ou abusiva de dados pessoais, na eventualidade desses dados não serem corretose representarem erroneamente seu titular, em sua utilização por terceiros sem o conhecimento deste, somente para citar algumas hipóteses reais.” (DONEDA, 2011, p. 92). Assim, a National Institute of Standards and Technology (NIST), do Departamento de Comércio dos Estados Unidos da América, proporciona um claro entendimento quanto aos riscos envolvidos em vazamento de dados, dividindo-os em riscos de cibersegurança e riscos de privacidade: Figura 1 – Relação entre os riscos de cibersegurança e de privacidade Fonte: Tradução do Diagrama de Venn da NIST (2019, p. 6). No entanto, internacionalmente, uma definição de risco que foi usada na comunidade de privacidade e proposta para a aplicação do GDPR é a de que o risco de privacidade é igual à probabilidade de uma atividade de processamento de dados resultar em impacto, ameaça ou perda gradual de um resultado ou direito, que não poderia ser mitigado pela implementação de controles eficazes de tecnologia da informação (risco de cibersegurança), ou que o custo marginal por sua implementação superasse o benefício marginal da empresa (EDPS, 2019, p. 8). Assim, o objetivo da avaliação de riscos é reduzir o risco tanto quanto razoável e praticável, à luz dos benefícios pretendidos e das mitigações e controles disponíveis, incluindo tecnologia de ponta, custo de implementação e melhores práticas, abordagem também adotada na LGPD (CIPL, 2016, p. 14). Embora existam inúmeras definições e conceitos de “risco” na área de privacidade e cibersegurança, a LGPD concentra-se em dois tipos de risco na relação entre titular de dados e agentes de tratamento: risco de privacidade para o indivíduo em funções de risco de conformidade adotado pelos agentes de tratamento. Nesse sentido, segundo Assi (2012, p. 43), o risco de conformidade é a “possibilidade de perda ocasionada pela inobservância, violação ou interpretação indevida de regulamentos e normas”. A partir de tal concepção, o risco de conformidade é inevitavelmente associado ao setor jurídico Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 3 da empresa, que é responsável por fiscalizar e garantir o compliance com as normas inerentes a sua atuação. A relação entre o risco de privacidade e o risco de conformidade pode ser esquematizada da seguinte forma: Figura 2 – Relação entre o risco de privacidade e o risco de conformidade Fonte: Adaptação e tradução da figura da NIST (2019, p. 7). Esquematização própria. Como resultado de um vazamento de dados, uma organização pode sofrer impactos como custos de não conformidade, abandono de cliente ou prejudicar sua reputação de marca externa ou cultura interna, situação que ainda se agrava se considerarmos que empresas brasileiras tem a 2ª maior média de demora para identificar vazamento de dados, demorando 250 dias, e 111 dias para contê-lo. (IBM SECURITY, 2019, p. 53). Esses impactos organizacionais podem ser determinantes para a tomada de decisões sobre a alocação de recursos, a fim de fortalecer os programas de conformidade em privacidade e ajudar as organizações a gerenciar o risco de privacidade em paridade com outros riscos empresariais, como o risco de conformidade. 2. A gestão do risco de vazamento de dados Ao elaborar o RIPD, será necessário mensurar o risco, o que deve ser realizado por empresas através de critérios de mitigação de risco, conforme o art. 38 da LGPD: “Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.” Assim, uma abordagem baseada em risco à proteção de dados, além da conformidade com a LGPD, permite que as organizações interpretem conceitos e metas abstratas em riscos identificáveis, controles e etapas de mitigação que podem ser implementadas, já que a realização do RIPD deve concatenar o risco de privacidade de dados e o risco de conformidade. Ao avaliar a probabilidade, o significado dos impactos (positivos e negativos) e qualquer dano potencial a indivíduos de uma atividade específica de processamento de dados pessoais, a avaliação de riscos ajuda com que as empresas possam maximizar os benefícios potenciais da atividade de processamento e reduzir o impacto negativo potencial da atividade em questão nos direitos e liberdades dos Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 4 indivíduos (CIPL, 2016, p. 13). Nesse sentido, a gestão de riscos no campo da proteção de dados, que tem a necessidade de ser reportada no RIPD, envolve duas modalidades: o risk assessment e o risk management. O risk assessment, ou a análise de riscos, mais especificamente na seara da segurança da informação, é um meio de identificar riscos inerentes, ou seja, o risco a que uma organização está exposta sem considerar quaisquer medidas de controle que possam reduzir a probabilidade de sua ocorrência ou seu impacto (INPI, 2018, p. 7), e assim avaliar possíveis danos que possam ser causados por erro ou imprudência na manipulação de dados de outrem (EDPS, 2019, p. 8). A análise tem três objetivos principais: identificar os riscos, quantificar o impacto de possíveis ameaças e buscar um equilíbrio financeiro entre o impacto do risco e o custo da respectiva medida de segurança (CIPL, 2016, p. 3). Já o risk management, ou gerenciamento de riscos, se refere ao processo de gerenciar e responder sistematicamente o impacto de uma operação de processamento de dados pessoais na organização e, cada vez mais, em indivíduos, por meio de processos bem definidos e documentados de gerenciamento de riscos corporativos (NIST, 2019, p. 7), além de mitigar riscos residuais, ou seja, o risco a que uma organização está exposta após a implementação e medidas de gerenciamento do risco (INPI, 2018, p. 7). Uma representação dessas duas etapas pode ser ilustrada da seguinte forma: Figura 3 – Etapas de operacionalização de riscos Fonte: Adaptação e tradução da figura da CIPL (2016, p. 39). Esquematização própria. 2.1. Análise de riscos Um dos principais desafios da análise de riscos à privacidade é decidir quais são os riscos, como ponderá-los e como avaliar a probabilidade e a gravidade de eventual dano oriundo deles (CIPL, 2016, p. 14). Apesar da LGPD dar competência à ANPD em seu art. 55-J, XIII, para editar regulamentos nas hipóteses em que o tratamento represente alto risco à garantia dos princípios gerais de proteção de dados pessoais dispostos na norma, a orientação é bastante genérica. A LGPD não aborda como identificar e avaliar riscos e danos específicos associados ao processamento de dados. Assim, parte do desafio na implementação das disposições de risco da LGPD consistirá em obter consenso sobre riscos e danos específicos a titulares de dados que podem ser identificáveis e mitigáveis por gerenciamento de riscos, conforme será estabelecido pela ANPD. No entanto, é útil identificar e enumerar categorias de risco gerais e amplamente relevantes. Essa identificação e enumeração permitem que as empresas e a ANPD identifiquem e avaliem os riscos específicos associados a uma atividade de processamento específica ao longo de todo o ciclo de dados (desde a coleta, armazenamento, uso e compartilhamento até o descarte) de maneira repetível e consistente, ajudando também as organizações a definir o escopo de suas operações de gerenciamento de riscos. Nesse sentido, um cálculo possível do risco pode ser feito através de uma matriz onde há o produto de probabilidadedo evento, como o vazamento de dados e a sua gravidade. Dessa forma, a doutrina internacional explica que o limite do risco de privacidade é calculado com o produto dos valores probabilidade e impacto com base no caso concreto, onde o resultado é a probabilidade da perda de dados pessoais, a perda de integridade dos dados e a perda da confidencialidade dos dados do ecossistema da Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 5 empresa analisada (BITKOM, 2017, p. 30): Figura 4 – Matriz para cálculo de riscos Fonte: Adaptação da figura do Instituto Nacional de Propriedade Industrial (INPI) (2018, p. 16). Já no caso de uma análise de risco de cibersegurança, os riscos são vistos com relação a um possível dano para a empresa (BITKOM, 2017, p. 20). É possível uma extensão dessa análise ao risco à cibersegurança, mas, de acordo com o LGPD, o nível de risco depende do seu impacto direto aos titulares dos dados. Portanto, é necessária uma extensão do contexto interno e externo para que os critérios de risco relevantes também sejam utilizados para determinar o nível desse tipo de risco. Nesse sentido, o risco de cibersegurança é calculado com o produto da probabilidade de ameaças ao sistema, como pontos fracos exploráveis, e as consequências dessa exploração, sendo, portanto, diferente do risco de privacidade (BITKOM, 2017, p. 20). 2.2 Gerenciamento de riscos Uma vez que os riscos são estabelecidos por meio da sua avaliação, a empresa deve escolher controles apropriados para aplicar medidas mitigadoras. Existem inúmeras maneiras de mitigar riscos. Por exemplo, o GDPR refere-se a medidas como criptografia, pseudoanonimização ou anonimização de dados, participação em códigos de conduta ou certificações e selos. Consequentemente, a escolha de medidas de mitigação apropriadas deve ser feita caso a caso, em que as empresas terão que considerar os riscos envolvidos, o custo de implementação das medidas e a sua eficácia, bem como seu impacto nos propósitos, interesses ou benefícios que estão sendo perseguidos pela atividade de processamento de dados proposta. Como acontece no caso dos riscos a serem estabelecidos, os controles a serem adotados dependem das operações de processamento específicas para as quais a empresa realiza um RIPD. No entanto, alguns controles básicos podem ser adotados, independente do nível de atuação da empresa. Tabela 1 – Medidas básicas de mitigação de riscos Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 6 Alvo Controles genéricos Justificabilidade Verificar o uso permitido/esperado ao reutilizar determinado conjuntos de dados Transparência Notificar automaticamente os titulares dos dados Limitação de propósito Evitar identificadores genéricos Minimização de dados Coletar faixas etárias em vez de datas de nascimento Limitação de armazenamento Distinguir entre o período de conservação para diferentes partes dos dados Segurança Seguir os protocolos do gerenciamento de riscos de segurança da informação Fonte: Adaptação e tradução da tabela da European Data Protection Supervisor (EDPS) (2019, p. 17-18). A EDPS, que orienta as Data Protection Authorities (DPAs) de cada país da União Europeia, define que existem quatro maneiras diferentes de gerenciar os riscos: redução de riscos pela adoção de medidas mitigadoras; prevenção de riscos; transferência de risco para terceiros; e aceitação de riscos. Assim, se os riscos forem reduzidos por uma dessas medidas, uma lista correspondente de medidas deve documentar qual medida está planejada; quem é o responsável pela implementação e até quando está planejado concluir a sua implementação (EDPS, 2019, p. 31). Nesse mesmo sentido, a LGPD, em seu art. 50, § 2º, I, h, obriga o controlador a estabelecer e executar um procedimento para revisar e monitorar a segurança do processamento de dados. Para cumprir o dever de responsabilidade da LGPD, deve-se ter uma documentação detalhada do planejamento (programa de auditoria) e das verificações realizadas (relatórios de auditoria) e, sendo encontrados desvios nas auditorias, os remédios também devem ser sistematizados, documentados e reportados à ANPD, conforme o art. 48 da LGPD. 3. A responsabilidade empresarial em vazamento de dados no direito brasileiro O risco como possibilidade de responsabilização surgiu, no século XIX, com a doutrina do risco, expressão cunhada pelo jurista Georges Ripert, o qual propôs a formulação dos conceitos de risco-profissional, do risco-propriedade e do risco-criado (RIPERT, 2000, p. 45). O falecido Desembargador Luiz Carlos de Azevedo, que foi professor titular de História do Direito da Universidade de São Paulo, também descreveu a motivação do advento da doutrina do risco como da seguinte forma: “Na verdade, no século que se encerrou, o surto contínuo ocorrido na tecnologia veio exigir respostas às situações emergentes, antes sequer imaginadas no contexto dos meios locomotores de comunicação. Os jornais dos anos que precederam ao primeiro conflito mundial descrevem o assustador recrudescimento de acidentes de trânsito causados pelos primeiros automóveis, os quais excediam, em números geométricos, aqueles da época dos tilburis, vitórias e carruagens. Corrida realizada na França, da qual participara com malogrado êxito um dos irmãos Renault, levou a que fossem tomadas medidas rigorosas para refrear o mau uso destes perigosos veículos.” (AZEVEDO, 2007, p. 276). A LGPD estabelece que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, através do consentimento prévio (opt-in), bem como garantidos seus direitos fundamentais de liberdade, intimidade e de privacidade, conforme previsto pela Constituição Federal no seu art. 5º, X e XII, sendo inviolável o sigilo de dados e assegurado o direito à indenização pelo dano material ou moral decorrente de suas violações, incluídas as atividades de risco. Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 7 Assim, qualquer pessoa que tenha seus dados vazados, e por isso sofrer danos de ordem patrimonial, moral, individual ou coletivo, poderá pleitear o direito de reparação por meio do instituto da responsabilidade civil, disposto no art. 927 do CC (LGL\2002\400). No que tange à responsabilidade civil dos agentes responsáveis pelo tratamento dos dados, o direito pátrio opera com duas categorias: a subjetiva, na qual o dano é causado em função de ato doloso ou culposo, mediante negligência, imperícia ou imprudência (BETTI, 2006, p. 420-421) e a objetiva, na qual o dano resultado de ato doloso ou culposo é irrelevante, sendo necessário apenas o nexo causal entre o dano e a conduta do agente para o surgimento do direito de reparação (COELHO, 2012, p. 136). Assim, René Savatier bem explica que: “A responsabilidade nascida do risco criado é aquela que obriga à reparação dos danos produzidos, mesmo sem culpa, por uma atividade que se desenvolvia dentro do interesse do agente e sob a responsabilidade dele. Esta definição visa compreender todos os casos em que a lei ou a jurisprudência determinam a responsabilidade civil de uma pessoa não culpada.” (SAVATIER, 1951, p. 349-350, Tradução Livre3). Nesse sentido, o parágrafo único do art. 927 do CC (LGL\2002\400) bem esclarece que o direito à reparação não dependerá da existência de culpa para aquele que exerce atividade que, por sua natureza, envolve riscos para os direitos de outrem, o que claramente é caracterizado na gestão empresarial de bancos de dados. Nessa mesma marcha, a LGPD, em seu art. 44, II caracteriza o tratamento de dados irregular quando não oferecer a segurança compatível com o resultado e os riscos que razoavelmente espera-se do tratamento de dados. Dessa forma, entende-se que não incidirá a responsabilidade objetiva no negócio jurídico entre controlador e operador de dados pessoais, quando nele ficar demonstradoa conformidade com a LGPD, Código de Defesa do Consumidor (CDC (LGL\1990\40)) e CC (LGL\2002\400), verificando-se, assim, a existência de excludente de responsabilidade, recaindo o ato de vazamento de dados sob a responsabilidade subjetiva. Assim, será necessária a comprovação de descumprimento do negócio jurídico através de ato doloso ou culposo, caso contrário, o agente de tratamento de dados ficará isento de responsabilidade. Portanto, pode-se afirmar que a LGPD adota a responsabilidade subjetiva ao requisitar a prova do dano nas previsões dispostas no seu art. 42, seja para imputar o controlador ou, alternativamente, o operador pelo dano causado em detrimento de atividade de tratamento de dados pessoais. Logo, se os atos dos agentes de tratamento resultarem em vazamento de dados e possibilitarem uma condenação à indenização, far-se-á necessária a comprovação judicial de um dano efetivo, seja ele patrimonial, moral, individual ou coletivo. Caso o dano seja comprovado, importante será verificar se o operador descumpriu a LGPD, ou não seguiu as instruções lícitas dadas pelo controlador, ou se mais de um controlador estiver diretamente envolvido no tratamento nos dados do titular, uma vez que nessas hipóteses constata-se o concurso de agentes de tratamento a fim do efetivo ressarcimento do titular dos dados, uma vez que, em ambas as situações, os agentes responderão solidariamente ao prejuízo causado, conforme o seu art. 42, I e II, podendo nesse caso, um dos agentes de tratamento exigir o direito de regresso caso arque com a reparação do dano do titular, segundo o seu art. 42, § 4º. Para todos os quesitos acima, o art. 43 da LGPD é claro ao estabelecer taxativamente as exceções de excludente de responsabilidade quando os agentes de tratamento provarem: (i) que não realizaram o tratamento de dados pessoais previamente atribuído; (ii) que não houve violação à LGPD apesar de terem realizado o tratamento de dados pessoais previamente atribuído; ou (iii) que o dano ocorreu por culpa exclusiva do titular dos dados ou de terceiro, hipóteses que podem ser abarcadas na gestão de riscos de empresas a fim de evitar a imputação de responsabilidade sobre vazamento de dados. Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 8 É importante salientar que se as medidas determinadas na LGPD não forem adotadas e for comprovado dano causado pela violação do direito do titular no âmbito das relações de consumo, o seu art. 45 determina que a responsabilização do agente de tratamento permanece sujeita às regras do CDC (LGL\1990\40), mitigando possível conflito de competência. O caso dessa identidade de normas, por exemplo, reflete-se no art. 43 da LGPD, onde as excludentes mostram grande influência ou mesmo similitude com o artigo 14, § 3° do CDC (LGL\1990\40), ou mesmo a previsão de inversão do ônus da prova no art. 42, § 2º da LGPD, também prevista no CDC (LGL\1990\40) em seu art. 6º, VIII. Desse modo, quando se tratar de uma relação de consumo, o mero vazamento dos dados caracteriza defeito no produto ou serviço contratado, configurando-se a responsabilidade objetiva, nos termos dos art.12, §1º e art. 14, §1º do CDC (LGL\1990\40), por não fornecer a segurança que o consumidor pode dele esperar, através do resultado e os riscos que razoavelmente dele se esperam, consonante com o art. 44, II da LGPD. Assim, em ambos os casos, demanda-se a gestão de riscos para isenção de ilicitude na gestão de dados de terceiros. 4. Considerações finais Para mitigar ou até mesmo eximir uma empresa de responsabilização por vazamentos de dados, cabe a ela comprovar que agiu conforme a LGPD e que aplicou todos os recursos possíveis e razoáveis para a proteção dos dados constantes de seus registros. Portanto, uma solução para isso é a adoção de mecanismos de gestão de riscos para provar que empregou os melhores esforços (best efforts)4 ao reduzir os riscos de vazamentos de dados e o dever anexo de cooperação no adimplemento do contrato, ou seja, o dever de mitigar perdas (duty to mitigate the loss)5 durante e após o incidente de vazamento de dados, o que afastaria por si só a teoria da aparência6 nos casos de relações de consumo que implicam em responsabilidade objetiva. É fato que as empresas que administram e coletam dados pessoais se tornam responsáveis pela segurança dessas informações, e dessa forma possuem o dever de garantir medidas adequadas para evitar vazamento de dados de terceiros e mitigar as perdas quando essa situação se consubstancia. Dentre os métodos de se compartilhar ou transferir a gestão de riscos para outra parte destacam-se a contratação de apólices de seguro, a realização de transações de hedging e a contratação de empresas terceirizadas para executarem atividades específicas de proteção de dados. Caso a empresa opte que haja um operador dos dados de seus clientes, contratando uma empresa terceirizada para tal tarefa, seja por questões de economia, desconhecimento, eficiência, ou estratégia jurídica, a medida mais aconselhável é a contratação de seguros, uma vez que a apólice protegeria o patrimônio financeiro da empresa pela cobertura dos custos pelo vazamento de dados e pela possibilidade de responsabilidade solidária, conforme o art. 34 do CDC (LGL\1990\40), caso os métodos de gestão de risco forem considerados insuficientes em processo administrativo pela ANPD. Desse modo, como em outras apólices de seguro, a cobertura por vazamento de dados pode ter provisões próprias e de terceiros. Coberturas próprias são aquelas pertencentes à própria organização segurada e coberturas de terceiros são voltadas para as partes afetadas fora da empresa (CRANE, 1980, p. 44-58). Do mesmo modo que acontece em seguros automotivos, uma cobertura própria eximiria o segurado da responsabilidade de custos, uma vez que cobre o segurado, já a cobertura de terceiros, além de cobrir o segurado, também abarcaria as outras pessoas envolvidas no acidente. Nesse sentido, seguradoras e resseguradoras, como a Swiss Re, já ofertam seguros cobrindo vazamento de dados, em que suas apólices de cobertura própria incluem: custos de investigação de violação de dados, custos de danos de hardware e software; multas incorridas por dados perdidos; receita perdida, enquanto as apólices com coberturas de terceiros abrangem: custos de litigância por perda de dados e taxas Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 9 incorridas para auxiliar os titulares que tiveram seus dados vazados (SWISS RE, 2017, pp. 11-12). Por fim, com a LGPD introduzindo o princípio da accountability, ou prestação de contas, no contexto da proteção de dados, mais especificamente no seu art. 6º, X, cria-se a necessidade de que a avaliação de risco seja realizada antes que uma organização sofra uma violação de dados pessoais. Assim, se determinada empresa cumpriu as obrigações dispostas na LGPD, incluindo suas obrigações de manutenção de registros para processamento (quando aplicável), registrou detalhes suficientes de suas avaliações de risco e cumpriu suas obrigações de segurança através da gestão de riscos, é teoricamente improvável que a ANPD penalize uma empresa em casos de responsabilidade civil subjetiva. Referências bibliográficas ADAMS, Kenneth A. Understanding "Best Efforts" And Its Variants (Including Drafting Recommendations). Practical Lawyer-Philadelphia, v. 50, n. 4, p. 18, 2004. AKERLOF, George A. The market for “lemons”: Quality uncertainty and the market mechanism. The Quarterly Journal of Economics, v. 84, n. 3, pp. 488-500, 1970. ASSI, Marcos. Gestão de riscos com controles internos: ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul Editora, 2012. AZEVEDO, Luís Carlos de. Introdução à história do direito. 2. ed. São Paulo: Revista dos Tribunais, 2007. BITKOM. Risk Assessment & Data Protection Impact Assessment. Bitkom e. V. FederalAssociation for Information Technology, Telecommunications and New Media, 2017. Disponível em: [www.bitkom.org/sites/default/files/pdf/noindex/Publikationen/2017/Leitfaden/170919-LF-Risk-Assessment-ENG-online-final.pdf]. Acesso em: 25.09.2019. BETTI, Emílio. Teoria geral das obrigações. Campinas: Bookseller, 2006. CIPL. Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR. CIPL GDPR Interpretation and Implementation Project, 2016. Disponível em: [https://iapp.org/media/pdf/resource_center/cipl_gdpr_risk_21_dec_2016.pdf]. Acesso em: 12.10.2019. CLAYDEN LAW. Risk Assessment And Data Privacy. Cybersecurity Series, 2017. Disponível em: [www.claydenlaw.co.uk/cms/document/Cybersecurity_2___Risk_.pdf]. Acesso em: 21.09.2019. COELHO, Fábio Ulhoa. Curso de direito civil 2 – Obrigações – Responsabilidade civil. 5. ed. São Paulo: Saraiva, 2012. CRANE, Frederick G. Insurance Principles and Practices, 1st edition. New York: John Wiley & Sons, 1980. DONEDA, Danilo. A Proteção dos Dados Pessoais como um Direito Fundamental. Joaçaba: Espaço Jurídico, v. 12, n. 2, p. 92, 2011. EUROPEAN DATA PROTECTION SUPERVISOR. Accountability on the ground Part II: Data Protection Impact Assessments & Prior Consultation. Accountability on the ground Series, 2019. Disponível em: [https://edps.europa.eu/sites/edp/files/publication/19-07-17_accountability_on_the_ground_part_ii_en.pdf]. Acesso em: 12.10.2019. FARNSWORTH, Edward Allan. Contracts. 3. ed. New York: Aspen Law, p. 229, 1999. IBM SECURITY. 2019 Cost of a Data Breach. Ponemon Institute Research Department, Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 10 2019. Disponível em: [www.ibm.com/downloads/cas/ZBZLY7KL?_ga=2.134781105.1373689445.1570151369-1799981008.1570151369]. Acesso em: 03.10.2019. INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL. Manual de gestão de riscos do INPI. Rio de Janeiro: INPI, 2018. Disponível em: [www.inpi.gov.br/sobre/estrutura/manual-gestao-de-riscos-inpi.pdf]. INPI. Acesso em: 25.09.2019. MANKIW, Gregory N. Principles of microeconomics. New Delhi: Cengage Learning, 6th edition, 2011. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST Privacy Framework: a tool for improving privacy through enterprise risk management. Preliminary Draft of the U.S. DoC, 2019. Disponível em: [www.nist.gov/sites/default/files/documents/2019/09/09/nist_privacy_framework_preliminary_draft.pdf]. Acesso em: 24.09.2019. RIPERT, Georges. A regra moral nas obrigações civis. Trad. Osório de Oliveira. Campinas: Bookseller, 2000. SAVATIER, René. Traité de la responsabilité civile en droit français. 2. ed. Paris: Librairie Générale de Droit et de Jurisprudence, 1951. SMITH, Juliane. Teoria da aparência: Uma análise crítica ao artigo 50 e 1.015 do Código Civil de 2002. Revista do Ministério Público do Rio Grande do Sul, Porto Alegre, n. 63, p. 20, 2009. Disponível em: [www.amprs.org.br/arquivos/revista_artigo/arquivo_1259071074.pdf]. Acesso em: 09.10.2019. STIGLITZ, Joseph E.; WEISS, Andrew. Credit rationing in markets with imperfect information. The American Economic Review, v. 71, n. 3, pp. 393-410, 1981. SWISS RE. Cyber liability: Data breach in Europe. Swiss Re Publications, pp. 11-12, 2017. Disponível em: [www.swissre.com/dam/jcr:b6772437-1bb4-4555-9ff9-1c55e67b6367/Cyber_Liability_Data_Breach_Europe.pdf]. Acesso em: 12.10.2019. 1 Mankiw (2011, p. 470) explica que a seleção adversa é um problema que surge em mercados em que o vendedor sabe mais sobre os atributos do bem que está sendo vendido do que o comprador, correndo o risco de venderem um bem de baixa qualidade, ou seja, é um oportunismo pré-contratual, em que uma parte contratante usa suas informações privadas em face do contratado. 2 Akerlof (1970, pp. 488-489) leciona que o risco moral é o risco de má-fé de uma parte em uma transação que pode ter fornecido informações enganosas sobre seus ativos, responsabilidades ou capacidade de crédito. 3 Tradução livre do francês: “La responsabilité née du risque créé est celle qui oblige à réparer des dommages produits, même sans faute, par une activité qui s’exerçait dans votre intérêt et sous votre autorité. Cette définition vise à comprendre tous les cas où la loi ou la jurisprudence retiennent la responsabilité civile d’une personne non fautive.” 4 Adams (2004, p. 18) ensina que “os esforços que uma pessoa razoável na posição de prometedor usaria para alcançar esse objetivo o mais rapidamente possível”. Tradução livre do inglês: “the efforts that a reasonable person in the position of [the promisor] [Acme] would use so as to achieve that goal as expeditiously as possible”. Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 11 5 Conforme explica Farnsworth (1999, p. 229), um dos mais renomados estudiosos de direito dos contratos dos Estados Unidos: “o credor prejudicado não será indenizado pelas perdas e danos que evitou ou poderia ter evitado com esforços razoáveis e apropriados às circunstâncias”. Tradução livre do inglês: “the injured creditor will not be compensated for the losses and damages he has avoided or could have avoided with reasonable efforts appropriate to the circumstances”. 6 Smith (2009, p. 20) leciona que “a boa-fé subjetiva será estimada na Teoria da Aparência, quando esta for invocada pelo terceiro prejudicado, isto porque apenas a análise da boa-fé objetiva não bastará para isentar a conduta deste, sendo necessário o questionamento da boa-fé subjetiva, ou seja, da intenção e a crença no errôneo por parte do terceiro de boa-fé”. Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial Página 12