A notificação de incidentes de segurança no âmbito da LGPD (Lei 13.709/2018) : aplicação do princípio da transparência e suas consequências

Abstract

Este trabalho tem como tema principal as notificações de incidentes envolvendo dados pessoais no âmbito da Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais. Seu objetivo é mostrar que a aplicação do princípio da transparência nas notificações de incidentes com dados pessoais, além de respeitar o direito à privacidade dos titulares e a legislação que rege o tratamento de dados pessoais, aprimora a governança e demonstra a utilização de boas práticas. O trabalho inicia sugerindo que existe uma relação entre direitos fundamentais, especialmente o direito à privacidade, e a proteção de dados pessoais. Em seguida, qualifica os incidentes, seus impactos e formas de ocorrência. Após, analisa as notificações considerando os aspectos legais existentes na Lei Geral de Proteção de Dados Brasileira e seus efeitos. O tópico dedicado ao dever de notificar aborda os atores envolvidos, o que deve ser notificado e as exceções. Ao final do tópico é feita uma análise do paradoxo existente entre a adoção do modelo de autorregulação e o princípio da transparência aplicado à proteção de dados. A aplicação do princípio da transparência na notificação de incidentes e seu efeito na governança é tratado em mais detalhes nos tópicos seguintes. Ações preventivas realizadas através da análise de riscos e como responder de forma transparente estão entre os assuntos abordados. O último tópico indica como pode ser aferida a transparência e com isso melhorar o nível de governança através da realização de certificações e do emprego de modelos de maturidade. A conclusão do trabalho sugere que a aplicação do princípio da transparência nas notificações de incidentes envolvendo dados pessoais, mais do que uma obrigação legal é uma obrigação moral, que demonstra o respeito ao direito à privacidade do titular dos dados por parte de quem se compromete a cuidar dos seus dados.

This work has as its main theme the notifications of incidents involving personal data within the scope of Law 13.709/2018, the General Personal Data Protection Law. Its objective is to show that the application of the principle of transparency in notifications of incidents involving personal data, in addition to respecting the right to privacy of data subjects and the legislation that governs the processing of personal data, improves governance and demonstrates the use of good practices. The work begins by suggesting that there is a relationship between fundamental rights, especially the right to privacy, and the protection of personal data. Then, it qualifies the incidents, their impacts and forms of occurrence. Afterwards, it analyzes the notifications considering the legal aspects existing in the Brazilian General Data Protection Law and its effects. The topic dedicated to the duty to notify addresses the actors involved, what must be notified and the exceptions. At the end of the topic, an analysis is made of the existing paradox between the adoption of the self-regulation model and the principle of transparency applied to data protection. The application of the principle of transparency in incident reporting and its effect on governance is discussed in more detail in the following topics. Preventive actions carried out through risk analysis and how to respond transparently are among the topics covered. The last topic indicates how transparency can be measured and thereby improve the level of governance through certifications and the use of maturity models. The conclusion of the work suggests that the application of the principle of transparency in the notification of incidents involving personal data, more than a legal obligation, is a moral obligation, which demonstrates respect for the data subject's right to privacy on the part of those who undertake to take care of your data.