#bomdialgpd

Diariamente escuto o termo "vazamento de dados" quando se quer falar sobre incidentes com dados pessoais. Adotar o termo inadequado acaba sendo negativo pois temos o grande desafio de educar, conscientizar e engajar pessoas, usar termos equivocados faz a máquina andar para trás.

O termo "vazamento" é cômodo, mas gera confusão. Vejo no dia a dia que muita gente contaminada pela palavra, acaba achando que só é incidente se houver vazamento. Incidentes como ransomware, invasões, malware, vírus, fraudes com alterações da dados, ataques de força bruta contra senhas, phishing ou incêndios, não necessariamente são vazamentos.

Na GDPR o termo é "data breach", que é traduzido na RGPD (versão oficial da GDPR em português) por "violação de dados" cuja definição no artigo 4, alínea 12 da RGPD é:

«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

No artigo 3, inciso XII do Regulamento de Comunicação de Incidentes, Resolução 15 da ANPD, define incidente como:

incidente de segurança: qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais;

Na definição da ANPD, o termo vazamento está associado apenas à confidencialidade.

Procuro sempre nos diálogos, de forma educada, alertar os interlocutores para que sempre utilizem o termo incidente, em prol de uma linguagem comum, de um melhor ambiente para conscientização da alta gestão, pares e usuários, e também de maior segurança jurídica (não sou advogado mas um ótimo profissional me disse isso).

Obrigado,

Aquele abraço,

FNery