Allan Turano <allan.turano@pbfadv.com.br>
Beatriz Moreira <beatriz.moreira@pbfadv.com.br>
A importância de adotar medidas aptas a proteger informações corporativas e de clientes prescinde de qualquer explicação. As ameaças são as mais diversas; incluem ataques cibernéticos praticados por crackers, violação ao sigilo por agentes internos mal intencionados, insuficiência ou inadequação da infraestrutura interna de tecnologia da informação com falhas que permitem o acesso por terceiros não autorizado ou até mesmo erro humano. Para além de entraves jurídicos e regulatórios, o risco que mais preocupa as organizações diante de um incidente é de imagem e reputacional. Há solução para preveni-los e remediá-los.
Nesse sentido, a Lei Geral de Proteção de Dados (Lei nº 13.709/18 – LGPD) estabelece uma série de medidas obrigatórias ou recomendáveis às empresas – chamadas de agentes de tratamento – como a adoção de medidas administrativas, de boa gestão, e técnicas, como o emprego de ferramentas tecnológicas.
Dentre elas, destaca-se o Plano de Respostas a Incidentes e Remediação (o “Plano”), previsto na LGPD e que apresenta um conjunto de estratégias e de medidas para controle dos danos de um incidente de segurança, seja acidental ou ilícito. Essas ações objetivam a manutenção da confidencialidade e a prevenção à ameaças não só em meios digitais, mas também nos meios físicos. Além disso, o Plano descreve a forma como uma instituição deve lidar em situações de destruição, perda, alteração, comunicação indevida ou tratamento inadequado dos dados. O intuito dessa política é minimizar os impactos que seriam causados e, consequentemente, diminuir os custos de recuperação.
Embora expressamente previsto na lei (art. 6º, VII), a LGPD não indica como o Plano deve ser elaborado. Para lhe auxiliar nesse processo, indicamos um checklist com o passo a passo das medidas que você deve tomar na hipótese de um incidente de segurança envolvendo dados pessoais:
Identificação:
É fundamental que a sua empresa estabeleça um processo eficiente para a detecção e para a localização da autoria, origem e causa desse incidente.
Contenção e Erradicação:
O próximo passo é a contenção do incidente, de forma a limitar os danos e evitar que outras áreas do banco de dados sejam afetadas. Em seguida, deve ser feita a recuperação e a restauração dos sistemas prejudicados, o que pode ser feito de forma gradual conforme necessidade da empresa.
Documentação:
As evidências e as ações realizadas para mitigar os danos devem servir de aprendizado, de modo que o Plano seja atualizado e melhorado para possíveis ocorrências semelhantes no futuro. Nessa etapa, o objetivo é discutir os erros e as dificuldades apresentadas durante a resolução do problema para, assim, propor melhorias que aumentem a eficácia do Plano.
Comunicação:
A LGPD também determina que, nos casos em que exista a possibilidade do incidente ocasionar “dano relevante” aos titulares de dados, a comunicação a eles e à Autoridade Nacional de Proteção de Dados Pessoais – ANPD é obrigatória e deve ser feita em “prazo razoável” (art. 48, § 1º). As aspas são propositais, posto que a lei não define, de forma objetiva o que é relevante ou razoável. Cabe ao Plano prever isso. A obrigação de comunicação também se estende ao Banco Central, se envolver instituições que funcionam sob sua autorização, e à SENACON, se envolver consumidores (art. 18 do Decreto nº 9.936/2019).
Essa comunicação ao titular pode ocorrer via SMS, e-mail, banners, notificações em sites, comunicações postais ou anúncios. Em se tratando de autoridades do Poder Público, há formulário eletrônico próprio para tanto em seus respectivos sites oficiais.
A ação de resposta ao incidente deve ocorrer de forma ágil, imediata e coordenada, logo, é fundamental que as entidades estejam preparadas para qualquer situação. Somente por meio de um bom Plano é possível se proteger e reduzir a ocorrência de possíveis ataques cibernéticos e vazamentos de dados, pois, na ocorrência de um incidente, não há tempo para se pensar em uma sequência de ações completas e detalhadas.
Do ponto de vista legal, a LGPD reconhece expressamente a existência de um Plano como fator redutor de sanções pela ANPD. Trata-se de um verdadeiro incentivo regulatório para adoção desta boa prática.
Nossa equipe de Tecnologia e Negócios Digitais se encontra à disposição para garantir maior segurança à sua empresa e para maiores esclarecimentos.
Comments