Os incidentes de proteção de dados são uma preocupação crescente para usuários, DPOs e empresas sujeitas à Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil.
Em pesquisa recente da Cybernews em janeiro deste ano, foi revelado que possivelmente toda a população brasileira teve recentemente seus dados vazados. Dados esses que incluíam nomes completos, datas de nascimento, sexo e números do Cadastro de Pessoas Físicas (CPF), colocando mais de 220 milhões de pessoas em alto risco.
A adequada gestão e prevenção de incidentes como esse, além de manter íntegra a privacidade e a segurança das informações dos indivíduos, também garante a conformidade legal das organizações. Este artigo explora as práticas essenciais para prevenir e gerenciar incidentes de proteção de dados pessoais no contexto da LGPD.
Compreendendo Incidentes de Segurança com Dados Pessoais
A ANPD define um incidente de segurança com dados pessoais como qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Podemos citar como exemplos de possíveis Incidentes envolvendo dados pessoais a invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, a indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, ou a perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares.
Saiba mais sobre o que a Autoridade Nacional tem a dizer sobre Incidentes.
Requisitos para a Gestão de Incidentes
A LGPD exige que todas as organizações que tratam dados pessoais adotem medidas de segurança adequadas para proteger esses dados contra acessos não autorizados e situações acidentais ou ilícitas. Além disso, a lei obriga as organizações a comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular dos dados sobre o incidente no (curtíssimo) prazo de três dias úteis a contar do conhecimento do incidente; caso ele possa acarretar risco ou dano relevante aos titulares.
Saiba mais sobre o que a Autoridade Nacional tem a dizer sobre a Comunicação de Incidentes.
Estratégias de Prevenção de Incidentes
Prevenir incidentes de dados é fundamental para a conformidade com a LGPD e a proteção da reputação da empresa. Isso pode incluir:
- Implementação de controles técnicos robustos, como criptografia, firewalls e antivírus.
- Realização de exercícios de simulação de Incidentes.
- Realização de avaliações e auditorias de segurança regularmente.
- Utilizar senhas fortes e não reutilizá-las em vários serviços diferentes.
- Capacitação e treinamento contínuo de funcionários sobre as melhores práticas de segurança e privacidade de dados.
Plano de Resposta a Incidentes
Além disso, ter um plano de resposta a incidentes é essencial. Este plano deve detalhar como identificar, avaliar e mitigar os danos de um incidente de segurança, além de especificar as etapas para notificação às autoridades e aos titulares dos dados. A resposta rápida pode minimizar os danos e as penalidades associadas ao incidente.
A ANPD recomenda aos agentes de tratamento as seguintes medidas em caso de incidentes de segurança com dados pessoais:
- Avaliação interna do incidente, incluindo análise da natureza, categoria e quantidade de titulares de dados afetados, bem como dos dados afetados e consequências prováveis.
- Comunicação ao encarregado, conforme previsto no Artigo 5.º, VIII da LGPD.
- Comunicação ao controlador, se aplicável, conforme estabelecido na LGPD.
- Comunicação à ANPD e ao titular de dados, especialmente em casos de risco ou dano relevante aos titulares, conforme determina o Artigo 48 da LGPD.
- Elaboração de documentação que inclua a avaliação interna do incidente, medidas adotadas e análise de risco, visando o cumprimento do princípio de responsabilização e prestação de contas estabelecido no Artigo 6º, X da LGPD.
A Importância da Notificação de Incidentes:
A notificação adequada não é apenas uma exigência legal sob a LGPD, mas também uma prática que reforça a transparência e a confiança com os titulares dos dados. Determinar quando e como notificar requer uma compreensão clara do "risco ou dano relevante" que pode ser causado pelo incidente.
Lembre-se que a ANPD é clara ao afirmar que qualquer incidente de segurança que possa acarretar um risco ou dano relevante aos titulares afetados deve sempre ser comunicado. Ou seja, um incidente precisa ser comunicado se atender, cumulativamente, aos seguintes critérios:
- Tenha a ocorrência confirmada pelo agente.
- Envolva dados pessoais sujeitos à LGPD.
- Acarrete risco ou dano relevante aos titulares dos dados.
Conclusão
A gestão de incidentes de proteção de dados pessoais é um componente crítico da estratégia de conformidade de qualquer organização sob a LGPD. Implementar medidas preventivas robustas, preparar um plano de resposta eficaz e entender as obrigações de notificação são passos cruciais para proteger não apenas os dados, mas também toda a integridade e a reputação da organização.
Este artigo destaca a importância da prevenção e gestão de incidentes e também serve como um guia para as empresas que buscam estar em conformidade com as exigências da LGPD, garantindo assim a segurança das informações pessoais que manuseiam.
Para uma gestão eficaz de incidentes, descubra o módulo de Incidentes da ECOMPLY. Nossa solução dinâmica e abrangente oferece todo o suporte técnico necessário para lidar com incidentes de forma eficiente e sem esforço. Além disso, disponibilizamos uma ampla variedade de modelos prontos para respostas rápidas e eficazes. Entre em contato conosco ainda hoje para saber mais e otimizar a proteção dos seus dados da sua organização.