5min de leitura

Québec e Brasil estão alinhados na adoção de boas práticas de governança e proteção de dados pessoais

Em 22 de setembro de 2022, entrou em vigor um conjunto de requisitos da Lei 25 da Província de Québec, Canadá, que seria o correspondente à Lei Geral de Privacidade de Dados desta importante, efervescente e bela província Canadense.

Uma das principais determinações da Lei 25 refere-se aos requisitos relacionados ao Regulation respecting confidentiality incidents, que  visa esclarecer as obrigações de reporte de uma infração de dados, bem como a manutenção de registros de incidentes por parte das empresas. Ou seja, determinar como uma infração de dados é tratada, monitorada e reportada, tanto da forma preventiva como corretiva, impondo regras de transparência para as empresas junto ao cidadão, bem como quanto às autoridades Canadenses.

Antes de qualquer coisa, a regulação em questão conceitua um "incidente de confidencialidade" como “um acesso não autorizado, uso ou comunicação de informações pessoais, perda de informações pessoais ou outra violação na proteção de tais informações”. Este conceito da Lei 25 tem grande semelhança com a conceituação de violação de "barreiras de segurança" referenciada na Lei de Proteção de Informações Pessoais e Documentos Eletrônicos ("PIPEDA"), que é a legislação nacional Canadense relacionada a proteção de dados. Assim sendo, vemos que há aderência e harmonia no que preceitua a legislação local provincial de Québec com a nacional Canadense.

Assim sendo, se um incidente de confidencialidade apresentar um "risco de lesão grave", uma organização será obrigada a tomar medidas razoáveis para reduzir o risco de lesão e evitar novos incidentes da mesma natureza, o que inclui notificar imediatamente a Commission d'accès à l' information du Québec, autoridade provincial que cuida da proteção de dados pessoais, bem como todos os indivíduos afetados.

De acordo com o Regulamento, se uma entidade detentora de informação pessoal tiver motivos para crer que ocorreu um incidente de confidencialidade, deve enviar "prontamente" uma notificação por escrito à Commission d'accès à l' information du Québec com o seguinte conteúdo:

  • Nome da organização afetada pelo incidente de confidencialidade, juntamente com seu número de registro de empresa no Québec;
  • Informações de contato de uma pessoa dentro da organização que possa responder a perguntas sobre o incidente;
  • Descrição da informação pessoal abrangida pelo incidente ou, caso essa informação não seja conhecida, as razões pelas quais é impossível fornecer tal descrição;
  • Breve descrição das circunstâncias do incidente e o que o causou, se conhecido; Data ou período de tempo em que ocorreu o incidente (ou uma aproximação, se desconhecido);
  • Data ou período de tempo durante o qual a organização tomou conhecimento do incidente;
  • Número de pessoas afetadas pelo incidente e número de pessoas residentes no Québec (ou uma aproximação, se desconhecida);
  • Descrição dos elementos que permitiram concluir que os indivíduos em causa correm risco de lesões graves;
  • Medidas que a organização tomou ou pretende tomar para notificar os indivíduos afetados sobre a violação;
  • Medidas que a organização tomou ou pretende tomar após a ocorrência do incidente, incluindo aquelas destinadas a reduzir/mitigar o risco de lesões e prevenir a recorrência de incidentes semelhantes no futuro; e
  • Indicação de que outros reguladores de privacidade foram informados do incidente, se aplicável.

Vemos que a legislação de Québec se assemelha muito à Lei Geral de Proteção de Dados do Brasil, principalmente no que dispõe às exigências das empresas em reportar qualquer tipo de infração de dados que tragam prejuízos ao titular:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Assim sendo, é possível concluir que, tanto Brasil quanto Québec, estão alinhados no que se refere às exigências de boas práticas para a proteção de dados, atendendo na íntegra as determinações estabelecidas pelos princípios do ESG (Environment, Social & Governance), uma vez que privacidade de dados é um dos pilares de governança da informação e gestão de dados confidenciais.

0 comentários

Deixe seu comentário