[bsa_pro_ad_space id=3 delay=8]

Incidente de Segurança: Quem deve reportar à ANPD, operador ou controlador?

O modelo de negócio de muitas empresas brasileiras conta com um ecossistema interligado e, diante do avanço dos crimes cibernéticos, em caso de incidente, é importante que todos saibam qual papel desempenhar e como comunicar o fato à Autoridade

Compartilhar:

*Por Alex Amorim

 

Em um cenário de incidente cibernético com impacto nos dados pessoais, o controlador deve ou não reportar o fato para a Autoridade Nacional de Proteção de Dados?

 

Esse questionamento é pertinente principalmente quando olhamos para o ecossistema das empresas, que contam com diversos parceiros para operacionalizar o negócio. É comum que as operações das companhias brasileiras atuem de forma interligada. Normalmente, esses parceiros exercem um papel de OPERADOR, pois eles tratam os dados pessoais em nome do CONTROLADOR.

 

Diante da alta dos ataques cibernéticos, podemos perceber que os OPERADORES terceirizados podem sofrer um incidente de Segurança, afetando as operações dos CONTROLADORES. Um ataque de ransomware, por exemplo, pode impactar todo um ecossistema e canais de negócios da empresa que desempenha o papel de CONTROLADOR.

 

Esse cenário desperta a dúvida que destaquei no início deste artigo. Assim como o OPERADOR, o CONTROLADOR deve também reportar o incidente à ANPD? Para responder essa questão, é importante destacarmos aqui as responsabilidades e funções pautadas no texto da Lei Geral de Proteção de Dados.

 

O artigo 38 da LGPD diz que o OPERADOR deve realizar o tratamento dos dados de acordo com as instruções fornecidas pelo CONTROLADOR. Ou seja, os papéis devem ser claros em relação às ações e melhores práticas de proteção de dados pessoais.

 

Já o artigo 46 deixa muito claro que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

 

Quando olhamos para esses artigos, fica claro que o papel principal do CONTROLADOR é deixar as instruções de Segurança bem estabelecidas para que o OPERADOR possa seguir de forma correta, além das medidas que devem ser adotadas em caso de incidente.

 

Outro ponto importante é o parágrafo único do artigo 44 da LGPD: Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

 

Isso significa que o CONTROLADOR precisa deixar muito claro qual o nível de Segurança que o OPERADOR precisa seguir, caso contrário, o OPERADOR será responsabilizado pelo incidente.

 

Voltando à questão inicial, sim, o CONTROLADOR deverá comunicar à Autoridade e ao titular do dado em caso de incidente cibernético que cause danos relevantes. Mesmo um incidente acontecendo no OPERADOR, uma empresa de call center por exemplo, o CONTROLADOR deve comunicar o fato à ANPD com base no artigo 48. E essa comunicação precisa acontecer rapidamente, baseada nas informações que o CONTROLADOR tem em mãos.

 

Com base nesses pontos, é importante deixar claro que mesmo que um incidente não aconteça diretamente na minha empresa, se eu tenho tudo mapeado e as operações de tratamento estão bem estabelecidas junto ao meu parceiro, que exerce esse papel de OPERADOR e trata os dados pessoais dos meus clientes, eu, como CONTROLADOR, tenho a obrigatoriedade de comunicar à Autoridade o incidente ocorrido, que afetou minha base de clientes.

 

*Alex Amorim é CISO | DPO e Presidente do IBRASPD

 

Conteúdos Relacionados

Security Report | Destaques

O Burnout Silencioso dos CISOs (Chief Information Security Officers)

Cada vez mais pesquisas de instituições relevantes apontam um processo acentuado de exaustão por parte dos Líderes de Segurança em...
Security Report | Destaques

AWS: Descentralização permite priorizar cultura de Segurança nas empresas

O representante de Segurança Cibernética da Amazon Web Services na América Latina, Marcello Zillo, conversou com jornalistas durante o re:Inforce...
Security Report | Destaques

Deputados do Partido Liberal são alvos de hacktivismo nas redes

No último fim de semana, membros da bancada do partido na Câmara tiveram sites oficiais e contas nas redes sociais...
Security Report | Destaques

73% das violações no mundo ocorreram por ransomware, alerta SEK

Baseada nos números gerados pelos mais de um milhão de alertas no SOC da companhia, o estudo Think Ahead Report...