O tema começa a ser objeto de discussão da ANPD em seus processos recentes.
Constata-se que o sistema de segurança da informação da sua empresa é falho: é possível ter acesso à uma extensa base de dados pessoais. Contudo, não há evidências de sua exploração por terceiros, tampouco houve reclamação dos titulares quanto a um possível vazamento. Não há necessidade de comunicação aos titulares ou às autoridades, certo?
Não é bem assim que a Autoridade Nacional de Proteção de Dados (ANPD) pensa. Para ela, a mera possibilidade de dano relevante aos titulares merece ser comunicada conforme previsto em lei. E não só isto. A constatação de vulnerabilidade é a prova da ausência da adoção, pelo controlador, dos esperados sistemas de segurança, padrões de boas práticas de governança e princípios da lei.
Este é o recado que a ANPD traz em processo sancionador em que o autuado foi o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), órgão público que atua como sistema de saúde para funcionários públicos de São Paulo.
Entenda o caso
Um terceiro denunciou à ANPD vulnerabilidades em sistemas de segurança da informação mantidos pelo IAMSPE. Era possível o acesso a informações constantes na base de dados sem a necessidade de uso de credenciais válidas.
Ou seja, qualquer pessoa não autorizada poderia ter acesso às informações.
Os dados eram nome completo, estado civil, data de nascimento, CPF, RG, endereço, telefones e cópias de documentos dos funcionários e seus dependentes.
O próprio IAMSPE assumiu a falha: foram identificados 4 pontos de acesso na API do site que não contavam com controles de segurança adequados. Contudo, apesar de reconhecer a falha, o Instituto confirma que na sua investigação interna não conseguiu ter acesso aos registros (logs) do que era acessado por meio dessa API, não sendo capaz de apurar se ela teria sido efetivamente explorada ou não por terceiros. Além disso, realizou comunicação parcial e genérica aos possíveis titulares afetados somente após acionado pela autoridade. Em resumo:
Se não foi comprovado um incidente, qual o motivo do processo?
Conforme citado pelo IAMSPE, nos seus procedimentos de verificação chegou-se à conclusão de que não há evidência de perdas ou alterações de dados nas bases de beneficiários, tampouco foram recebidas reclamações de usuários de perdas ou alterações indevidas de dados.
Contudo, conforme visto no processo sancionador, a ANPD questiona o Instituto quanto à:
Acertadamente, a ANPD aciona os princípios da segurança e da responsabilização e prestação de contas (art. 6º, incisos VII e X, respectivamente) dispondo que a “ausência de registros (logs) constitui falha no dever de proteger os dados pessoais sob sua custódia. Não há como o controlador cumprir, ou demonstrar que cumpre, seu dever de protegê-los ‘de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito’ sem que saiba quando e por quem são acessados”.
Em outras palavras, a ANPD diz que ainda que a ausência de logs não caracterizem possibilidade de exploração de vulnerabilidades, a sua ausência já constitui em uma falha no dever de proteção de dados.
Já, com relação à comunicação de incidentes, a autoridade traz à luz uma construção interessante quanto ao “gatilho” para a notificação: é o incidente gerar uma possibilidade de acarretar risco ou dano relevante aos titulares. Ou seja, foi comprovada falha no sistema que permite acesso à uma quantidade expressiva de dados pessoais? Claramente há possibilidade de acarretar risco ou dano relevante, correto?
Em três pontos, o que é possível extrair deste processo?
Comments