Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (Operador).
O caso da Atento refletiu um efeito cascata na área de atendimento, pois vários clientes da Atento desligaram as redes para evitar que o ataque se espalhasse. Além disso, especialistas destacam a importância de se ter um Manual de Gestão de Riscos no Terceirizado e um Protocolo de Resposta a Incidentes de Dados (padrão LGPD) implementados, testado e treinado.
De acordo com Patricia Peck, PhD, especialista em Direito Digital, Sócia Fundadora do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD), o mercado ainda está no processo de conformidade à LGPD. Portanto, uma das etapas fundamentais está em andamento, que é a gestão de risco por contratos com a implementação do clausulado de proteção de dados bem como também de cultura, com conscientização das equipes.
“Por certo, ainda falta mais alinhamento entre Controlador e Operador para que fique bem estabelecido o plano de ação com as medidas que devem ser aplicadas em situações que envolvam incidentes de dados pessoais, com determinação dos responsáveis, prazos e providências”, esclarece Patricia.
A especialista destaca também a dúvidas do mercado em relação ao artigo 48 da LGPD e sobre a responsabilidade de Operador e Controlador informarem o fato ocorrido à ANPD. É preciso entender qual matriz de riscos (análise quantitativa e qualitativa da base de dados pessoais afetada, perfil de titulares, perfil de controladores e medidas de segurança) aplicar para análise de relevância do incidente que determine a necessidade de aplicação do dever de report trazido pelo artigo 48.
“O principal ponto de partida é conseguir enquadrar que houve violação de segurança que tenha de fato gerado uma das três hipóteses: perda, exposição e/ou uso indevido/ilícito de dados pessoais. Logo, pode acontecer de a empresa sofrer um sequestro de dados sem que configure nenhuma destas situações”, pontua Patricia.
Se for identificado de que houve a exposição (vazamento efetivo) pelo operador (no caso o terceirizado) com risco evidente ou dano relevante, a especialista entende que sim, tanto Operador quanto Controlador deverão cumprir com o dever de report.
Gerenciar o risco no terceiro
Em termos de melhores práticas, Patricia Peck destaca dois pontos importantes no gerenciamento de risco nos terceirizados para que um caso como a Atento não se repita. Primeiro, estabelecer claramente que ter cláusulas contratuais de proteção de dados pessoais passaram a ser item essenciais para gestão de risco. Muitos ainda não fizeram essa atualização ou possuem alguma resistência, destaca a especialista. Lembrando que não é apenas assinar acordo de confidencialidade (NDA). Esse tipo de cláusula traz quais serão as medidas de segurança que devem ser aplicadas (preventivo), mas também qual o procedimento em caso de incidente (dever de resposta, colaboração, prazos, responsabilização).
O segundo ponto destacado é ajustar o clausulado pelo perfil do terceiro, mapeando quem são os fornecedores mais críticos e nestes casos incluindo também a possibilidade de auditoria pelo Controlador. Como melhor prática, também é enviado um questionário adaptado conforme o porte e criticidade do fornecedor para que seja respondido por ele, incluindo uma análise de risco e conformidade à LGPD com preenchimento e assinatura do terceirizado, tornando-o assim parte integrante do processo de cadastro e contratação. Ali há um levantamento de perfil, itens de segurança e o compromisso no cumprimento com a legislação.
“Como estamos neste momento de início de vigência de uma nova lei, é muito importante a proximidade e a parceria entre Controlador e Operador, ou seja, as empresas dentro de um ecossistema de negócios devem colaborar pela conformidade de todos, pois não adianta estar bem resolvido dentro de casa e todos os que estão no seu perímetro ampliado com quem a empresa realiza negócios e compartilha dados não estarem em um patamar mínimo de conformidade e segurança pois traz risco para todos e a responsabilidade prevista na LGPD é solidária pelo artigo 42. Ou seja, no fim do dia, é um modelo de risco distribuído, todos precisam fazer o dever de casa”, conclui Patricia Peck.
Trabalho em equipe
A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como a definição clara de um SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. Patrícia Peck recomenda ainda ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.
Os Controladores precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:
1. Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.
2. Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.
3. Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.
4. A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD. Para isso, é necessário ter elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao Controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.
