Juristas pedem mudanças nas regras de comunicação de incidentes à ANPD

Compartilhar:

Durante audiência pública realizada hoje (23) pelo órgão fiscalizador, advogados e representantes jurídicos do país levantaram questionamentos e conselhos a respeito do Regulamento de Comunicação de Incidente de Segurança. Maior parte dos participantes discordou do prazo de notificação para a Autoridade e pede mais fiscalização nos planos de resposta

A Autoridade Nacional de Proteção de Dados (ANPD) organizou hoje (23) uma audiência pública para debater o novo Regulamento de Comunicação de Incidente de Segurança. O objetivo do documento é normatizar o processo de notificação de eventuais ocorrências cibernéticas que representem risco ou dano relevante aos titulares das informações comprometidas.

Durante a audiência, a maioria dos debatedores se debruçou especificamente ao prazo previsto para a comunicação do incidente, considerado demasiadamente curto a depender do tamanho do vazamento e a quantidade de usuários afetados. Segundo os especialistas, separar os prazos de notificação dos titulares e da ANPD ou ampliar o tempo facilitaria as ações de transparência das corporações.

“Hoje, o Brasil possui uma maturidade aquém a de outros países. Ainda estamos em um processo de amadurecimento legislativo,  enquanto estamos nessa fase de adequação, as companhias europeias, sob incidência da GDPR, já consideram a proteção de dados uma prática comum. Será necessário considerar os perfis das entidades públicas, as circunstâncias de Pequenas e Médias empresas, cuidados em relação ao fuso horário e mesmo a quantidade de feriados que o país possui. É muito importante revisitar esse prazo estabelecido”, afirmou Cecília Castro, Advogada Líder do escritório Peck Advogados.

Segundo o regulamento, um incidente de vazamento deve ser comunicado caso afete significativamente direitos fundamentais dos titulares e envolva informações sensíveis; relativos a crianças, adolescentes ou idosos; financeiras; essenciais para autenticação de sistema e em larga escala.

O órgão havia definido um prazo de 3 dias úteis para as empresas vítimas de um incidente cibernético comunicarem tanto a ANPD quanto os titulares dos dados, contados a partir do momento em que se tomou conhecimento do evento. Entretanto, a comunicação à Autoridade poderá ser prolongada em 20 dias úteis caso a empresa justifique essa necessidade.

Na visão de Roberta Buso, Advogada Jurídico Consultiva da Febraban, o início de contagem do prazo deve ser o momento em que uma apuração mínima constatar definitivamente o vazamento com risco relevante. Essa decisão permitiria às empresas já darem passos importantes na elucidação do ocorrido.

“Além disso, a comunicação não precisa ser feita ao mesmo tempo para o titular e à ANPD. Fazê-lo em momentos distintos seria mais adequado devido a toda uma especificidade na linguagem, grau de detalhamento das informações, considerações de confidencialidade, entre outros”, complementa a advogada.

Já Marcelo Crespo, professor da faculdade de direito da ESPM, ressalta que vazamentos de informações pessoais frequentemente levam meses até serem detectados e enfrentados. Devido a isso, a autoridade de proteção de dados precisa mudar o enfoque sobre a notificação de um incidente em favor da fiscalização do plano de resposta aplicado pela empresa atingida.

“A comunicação de um vazamento é uma parcela pequena da crise, além de pressupor que a ocorrência foi identificada e registrada de forma ordenada. Já um plano de gestão de crise é muito mais abrangente, pois envolve saber quem está fazendo o quê, como, quando e por quê. A ANPD precisa começar a colocar como boa prática o estabelecimento de planos de resposta à incidentes, realmente resolvendo muitos dos problemas”, conclui Crespo.


Conteúdos Relacionados

Security Report | Destaques

Credenciais comprometidas protagonizam 66% dos ataques cibernéticos

Na edição mais recente do relatório Incident Response Trends, a Cisco Talos ressalta o impacto crescente de ameaças baseadas em...
Security Report | Destaques

“Para combater IA como vilã, a Segurança deve transformá-la em heroína”

Durante Painel de Debates no segundo dia do Security Leaders Nacional, os CISOs do Banco Mercantil, Hospital Sírio Libanês, LM...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo as prefeituras municipais de Uruguaiana e Pirajuí; o CEMIG; Polícia Militar...
Security Report | Destaques

Security Leaders destaca diversidade ao celebrar nova geração de Líderes de SI

Prêmio de Líder ressalta a inclusão no mercado de Cibersegurança, reunindo talentos de todas as regiões do Brasil e destacando...