Comunicação de incidentes incentiva proteção de dados, aponta jurista

Especialista em direito digital do VLK Advogados orienta que as organizações se posicionem melhor agora para elevarem seus níveis de conformidade com a LGPD

Compartilhar:

A Autoridade Nacional de Proteção de Dados (ANPD) aprovou neste mês o Regulamento de Comunicação de Incidente de Segurança (RCIS), que detalha os procedimentos e responsabilidades dos agentes de tratamento.

 

A norma prevê, por exemplo, prazo de três dias úteis para os controladores – prazo contado em dobro para os agentes de pequeno porte. E como regra geral, o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

 

Para Caio Lima, sócio-fundador do VLK Advogados, essa resolução traz várias obrigações de comunicação e prazos importantes. A governança ética em proteção de dados é um mecanismo que pode ser utilizado como forma de responder rápido ao incidente de segurança e mitigar riscos para os titulares de dados e para as organizações.

 

“O momento agora é de revisitar o plano de resposta a incidentes, de verificar como a empresa está em realização de simulação de incidentes de segurança de informação, como se está em relação à avaliação dos terceiros para garantir que com quem ela trafega dados pessoais tenham o mesmo nível de segurança, privacidade e proteção de dados”, disse Lima.

 

Também é preciso atualizar o mapeamento, garantir a nomeação do encarregado e a formalização da sua nomeação. De acordo com o segundo Relatório de Ciclo de Monitoramento (RCM) da ANPD, houve 163 Comunicações de Incidentes de Segurança (CIS) no primeiro semestre de 2023, um aumento de 15,6% em relação aos 141 do primeiro semestre de 2022. Assim como em 2022, os casos de ramsomware foram a principal causa das CIS.

 

O VLK Advogados selecionou 12 principais pontos de atenção:

 

1) QUEM DEVE COMUNICAR? O controlador, por meio de representante legal ou do Encarregado, nas situações de incidente de segurança da informação confirmado, em que houver risco ou dano relevante aos titulares. Essa comunicação à ANPD, quando feita pelo Encarregado, deverá demonstrar a existência de vínculo contratual, empregatício ou funcional. Se por meio de representante legal, mediante Procuração – a documentação comprobatória deve ser apresentada.

 

2) O QUE REPRESENTA RISCO OU DANO RELEVANTE? O incidente será assim considerado quando afetar significativamente direitos fundamentais (impedir o uso de um serviço; causar discriminação, violação à integridade física ou à imagem; ou fraude financeira) e contiver dados: Sensíveis; De crianças, adolescentes ou idosos; financeiros; de credenciais de acesso ou de confirmação da identidade; protegidos por sigilo legal, judicial ou profissional; ou Em larga escala (importante observar a Consulta Pública que está aberta neste momento sobre esse tema). É fundamental que as organizações tenham metodologia fundamentada para calcular o risco que o incidente pode representar, documentando o resultado.

 

3) QUAL O PRAZO DE COMUNICAÇÃO? 3 dias úteis, contados da data em que se confirmou que o incidente afetou dados pessoais. No caso de comunicação preliminar, as informações complementares deverão ser apresentadas em até 20 dias úteis.

 

4) O QUE DEVE CONTER O COMUNICADO? Descrição da natureza e categoria dos dados afetados; Número de titulares afetados (especificando os vulneráveis); Medidas técnicas de segurança utilizadas (antes, durante e após o incidente); Riscos do incidente; Data da ocorrência; Dados do Encarregado; Identificação do controlador e do operador; Descrição do incidente e causa principal, entre outros.

 

5) QUAIS DOCUMENTOS A ANPD PODE SOLICITAR? Além dos documentos comprobatórios acima, a ANPD poderá requisitar: Mapeamento das Atividades de Tratamento de Dados; Relatório de Impacto à Proteção de Dados Pessoais e o Relatório de Tratamento do Incidente.

 

6) PRECISA DE RELATÓRIO TÉCNICO? Além da documentação interna sobre a apuração da gravidade do incidente (cálculo de risco), a ANPD determina que a elaboração de Relatório Técnico, contendo todas as informações apresentadas no tópico 4 acima. O Relatório deve ser armazenado pelo período mínimo de 5 anos, mesmo que o incidente não seja comunicado à ANPD e aos titulares.

 

7) ANÁLISE AGREGADA: A ANPD poderá fazer a análise dos incidentes comunicados de forma agregada, ou seja, não específica, com providências padronizadas, conforme os planejamentos da Autoridade para a fiscalização.

 

8) DETERMINAÇÕES PELA ANPD: Após receber a CIS, a ANPD poderá determinar a ampla divulgação do incidente às expensas do controlador (que não se confunde com a sanção de publicização); e medidas para reverter ou mitigar os efeitos do incidente.

 

9) MANIFESTAÇÃO DO CONTROLADOR: A ANPD poderá determinar a adoção de medidas imediatas de prevenção, mesmo sem a manifestação do controlador.

 

10) SANÇÕES: A ANPD poderá instaurar processo administrativo sancionador, caso o controlador não adote as medidas determinadas pela Autoridade.

 

11) EXTINÇÃO DO PROCESSO DE CIS: O processo será declarado extinto pela ANPD quando: Não houver evidências suficientes da ocorrência do incidente; Se a Autoridade entender que não pode causar risco ou dano relevante; O incidente não envolver dados pessoais; Se tiverem sido tomadas as medidas de mitigação e reversão; ou Se os titulares tiverem sido comunicados e todas as providências necessárias tiverem sido realizadas.

 

12) OUTRAS OBRIGAÇÕES REGULATÓRIAS: As demais obrigações setoriais precisarão ser cumpridas cumulativamente a essa Resolução da ANPD (Anatel, Banco Central, CVM, SUSEP, entre outros), especialmente em relação à comunicação aos reguladores, conteúdo e prazos, obrigações de medidas de segurança, entre outros.

 

Conteúdos Relacionados

Security Report | Overview

Itaú Unibanco lança campanha nacional de Marketing sobre Segurança e fraudes

Filmes serão exibidos na programação da TV Globo; campanha faz parte da estratégia para posicionamento do Itaú como banco referência...
Security Report | Overview

Brasil é uma das principais origens de ataques de DoS, aponta levantamento

Relatório da ISH Tecnologia também apresenta tentativas de logins mais usadas por criminosos, entre outros dados
Security Report | Overview

27% dos ataques cibernéticos na América Latina miram infraestrutura crítica

Pesquisa da Kaspersky também revela problemas no setor de transporte e manufatura
Security Report | Overview

Paris 2024: pesquisa revela que os Jogos estão em alto risco de ciberataques

De acordo com a Unit 42, os ciberataques são as principais ameaças ao evento esportivo mais importante do ano, com...