Incidente de Segurança: Quem deve reportar à ANPD, operador ou controlador?

O modelo de negócio de muitas empresas brasileiras conta com um ecossistema interligado e, diante do avanço dos crimes cibernéticos, em caso de incidente, é importante que todos saibam qual papel desempenhar e como comunicar o fato à Autoridade

Compartilhar:

*Por Alex Amorim

 

Em um cenário de incidente cibernético com impacto nos dados pessoais, o controlador deve ou não reportar o fato para a Autoridade Nacional de Proteção de Dados?

 

Esse questionamento é pertinente principalmente quando olhamos para o ecossistema das empresas, que contam com diversos parceiros para operacionalizar o negócio. É comum que as operações das companhias brasileiras atuem de forma interligada. Normalmente, esses parceiros exercem um papel de OPERADOR, pois eles tratam os dados pessoais em nome do CONTROLADOR.

 

Diante da alta dos ataques cibernéticos, podemos perceber que os OPERADORES terceirizados podem sofrer um incidente de Segurança, afetando as operações dos CONTROLADORES. Um ataque de ransomware, por exemplo, pode impactar todo um ecossistema e canais de negócios da empresa que desempenha o papel de CONTROLADOR.

 

Esse cenário desperta a dúvida que destaquei no início deste artigo. Assim como o OPERADOR, o CONTROLADOR deve também reportar o incidente à ANPD? Para responder essa questão, é importante destacarmos aqui as responsabilidades e funções pautadas no texto da Lei Geral de Proteção de Dados.

 

O artigo 38 da LGPD diz que o OPERADOR deve realizar o tratamento dos dados de acordo com as instruções fornecidas pelo CONTROLADOR. Ou seja, os papéis devem ser claros em relação às ações e melhores práticas de proteção de dados pessoais.

 

Já o artigo 46 deixa muito claro que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

 

Quando olhamos para esses artigos, fica claro que o papel principal do CONTROLADOR é deixar as instruções de Segurança bem estabelecidas para que o OPERADOR possa seguir de forma correta, além das medidas que devem ser adotadas em caso de incidente.

 

Outro ponto importante é o parágrafo único do artigo 44 da LGPD: Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

 

Isso significa que o CONTROLADOR precisa deixar muito claro qual o nível de Segurança que o OPERADOR precisa seguir, caso contrário, o OPERADOR será responsabilizado pelo incidente.

 

Voltando à questão inicial, sim, o CONTROLADOR deverá comunicar à Autoridade e ao titular do dado em caso de incidente cibernético que cause danos relevantes. Mesmo um incidente acontecendo no OPERADOR, uma empresa de call center por exemplo, o CONTROLADOR deve comunicar o fato à ANPD com base no artigo 48. E essa comunicação precisa acontecer rapidamente, baseada nas informações que o CONTROLADOR tem em mãos.

 

Com base nesses pontos, é importante deixar claro que mesmo que um incidente não aconteça diretamente na minha empresa, se eu tenho tudo mapeado e as operações de tratamento estão bem estabelecidas junto ao meu parceiro, que exerce esse papel de OPERADOR e trata os dados pessoais dos meus clientes, eu, como CONTROLADOR, tenho a obrigatoriedade de comunicar à Autoridade o incidente ocorrido, que afetou minha base de clientes.

 

*Alex Amorim é CISO | DPO e Presidente do IBRASPD

 

Conteúdos Relacionados

Security Report | Destaques

Sistema de Informações do Ministério da Gestão sofre ataque cibernético

O Sistema Eletrônico de informações é responsável por gerir documentos e processos digitalizados, visando promover a eficiência administrativa. Em nota,...
Security Report | Destaques

Polícia Federal abre operação contra ciberataque e fraude na Caixa

Incidente ocorreu em 2020, quando 150 contas bancárias titularizadas de 40 prefeituras pelo país tiveram transações irregulares. Em nota, a...
Security Report | Destaques

Ataque DDoS foi movido por grupo hacktivista, confirma Universidade do Amapá

Incidente ocorrido esta semana havia paralisado as operações digitais da instituição por meio de aumento do tráfego malicioso. Em nota,...
Security Report | Destaques

Bug no controle de falhas possibilitou atualização ruim do Falcon, diz relatório

Em reporte preliminar pós-incidente divulgado hoje (24), a companhia ofereceu mais detalhes do que possibilitou o incidente que paralisou diversos...