Não é novidade que o número de incidentes de segurança da informação que envolvem dados pessoais tem crescido de forma relevante no decorrer dos anos, conforme, inclusive, informações divulgadas pela Autoridade Nacional de Proteção de Dados – ANPD em seu 1º Relatório de Ciclo de Monitoramento.
Contudo, é certo que a ocorrência de tais incidentes tende a aumentar durante o período de festas de final de ano, quando muitas empresas atuam com equipes de TI reduzidas, expandem o regime de trabalho remoto etc. Aliás, neste cenário, também é possível que haja demora na identificação e/ou resolução do incidente, o que pode agravar eventuais danos causados aos titulares dos dados pessoais comprometidos e aos respectivos agentes de tratamento.
Os episódios classificados como incidentes de segurança vão desde acesso ou divulgação não autorizada de dados pessoais até ataques cibernéticos aos servidores e demais repositórios utilizados pela empresa.
Nesse sentido, a Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) dispõe de obrigações específicas para a preservação de dados pessoais e para a adoção de medidas no caso de incidentes, sendo que tais obrigações, quando não atendidas, podem ensejar a aplicação das penalidades legalmente previstas.
Nesse contexto, listamos abaixo algumas medidas que devem ser cumulativamente observadas para prevenir incidentes de segurança e/ou possibilitar um gerenciamento adequado de eventuais incidentes de segurança:
1) Política de Privacidade Interna e Treinamento: Entre outras orientações, estas duas medidas, quando adequadamente implementadas, instruem os colaboradores acerca das providências que devem ser adotadas para preservar os dados pessoais e assim evitar incidentes, bem como orientam o comportamento geral dos colaboradores em caso de incidentes de segurança.
2) Política de Segurança da Informação: Esta política, quando adequadamente implementada, fornece instruções gerais no tocante ao tratamento de informações e uso de dispositivos, programas de computador e ferramentas no âmbito das atividades da sociedade, sendo importante para prevenir incidentes de segurança.
3) Plano de Resposta a Incidentes de Segurança: Este plano, quando adequadamente implementado, define um grupo de responsáveis e instrui tais profissionais no sentido de reagir adequadamente a incidentes de segurança que envolvam dados pessoais, bem como auxilia a empresa a minimizar possíveis danos, a reduzir o tempo de recuperação de desastres e a mitigar as despesas relacionadas a eventuais incidentes.
Adicionalmente, seguem listadas abaixo medidas que devem ser adotadas pela empresa na indesejada hipótese de ser identificado um incidente de segurança:
4) Análise do Incidente de Segurança: Como parte das medidas que devem estar descritas nas políticas corporativas que tratam do tema, é muito importante que, tão logo detectado o incidente, os times do jurídico e de segurança da informação sejam imediatamente acionados para fins de gerenciamento e avaliação do incidente, inclusive no tocante aos danos e prejuízos eventualmente causados aos titulares e à necessidade de comunicação do incidente à ANPD e/ou aos referidos titulares, nos termos do artigo 48 da LGPD.
5) Comunicação à ANPD e/ou aos titulares: Caso a análise prevista no item acima conclua pela comunicação da ANPD e/ou dos titulares, será necessário elaborar todos os documentos que compõem a referida comunicação, realizar a comunicação nos prazos adequados e, em determinados casos, organizar ainda a publicação de comunicados em veículos específicos.
6) Ações Judiciais: Em determinados casos, é importante propor medidas judiciais para identificar e/ou responsabilizar o autor de incidente. Além disso, costuma ser importante monitorar e gerenciar eventuais medidas judiciais propostas por terceiros prejudicados pelo incidente (e.g., titulares de dados pessoais comprometidos).
Vale notar que as medidas acima listadas não dispensam a adoção concomitante de medidas técnicas com o intuito de dificultar ou prevenir incidentes de segurança, interromper incidentes que estejam em andamento e/ou mitigar prejuízos decorrentes de incidentes que não possam ser evitados (e.g., firewalls, sistemas de detecção e prevenção de intrusões, criptografia, autenticação de dois fatores, backups regulares, monitoramento constante de redes e sistemas etc.).
Caso você tenha dúvidas sobre a aplicação das medidas acima ao seu negócio ou queira simplesmente conversar sobre o tema, fique à vontade para nos contatar!
Referências:
Lei Geral de Proteção de Dados Pessoais – LGPD
ANPD – Relatório do Ciclo de Monitoramento:
Varonis:
Forbes: