Juristas pedem mudanças nas regras de comunicação de incidentes à ANPD

Compartilhar:

Durante audiência pública realizada hoje (23) pelo órgão fiscalizador, advogados e representantes jurídicos do país levantaram questionamentos e conselhos a respeito do Regulamento de Comunicação de Incidente de Segurança. Maior parte dos participantes discordou do prazo de notificação para a Autoridade e pede mais fiscalização nos planos de resposta

A Autoridade Nacional de Proteção de Dados (ANPD) organizou hoje (23) uma audiência pública para debater o novo Regulamento de Comunicação de Incidente de Segurança. O objetivo do documento é normatizar o processo de notificação de eventuais ocorrências cibernéticas que representem risco ou dano relevante aos titulares das informações comprometidas.

Durante a audiência, a maioria dos debatedores se debruçou especificamente ao prazo previsto para a comunicação do incidente, considerado demasiadamente curto a depender do tamanho do vazamento e a quantidade de usuários afetados. Segundo os especialistas, separar os prazos de notificação dos titulares e da ANPD ou ampliar o tempo facilitaria as ações de transparência das corporações.

“Hoje, o Brasil possui uma maturidade aquém a de outros países. Ainda estamos em um processo de amadurecimento legislativo,  enquanto estamos nessa fase de adequação, as companhias europeias, sob incidência da GDPR, já consideram a proteção de dados uma prática comum. Será necessário considerar os perfis das entidades públicas, as circunstâncias de Pequenas e Médias empresas, cuidados em relação ao fuso horário e mesmo a quantidade de feriados que o país possui. É muito importante revisitar esse prazo estabelecido”, afirmou Cecília Castro, Advogada Líder do escritório Peck Advogados.

Segundo o regulamento, um incidente de vazamento deve ser comunicado caso afete significativamente direitos fundamentais dos titulares e envolva informações sensíveis; relativos a crianças, adolescentes ou idosos; financeiras; essenciais para autenticação de sistema e em larga escala.

O órgão havia definido um prazo de 3 dias úteis para as empresas vítimas de um incidente cibernético comunicarem tanto a ANPD quanto os titulares dos dados, contados a partir do momento em que se tomou conhecimento do evento. Entretanto, a comunicação à Autoridade poderá ser prolongada em 20 dias úteis caso a empresa justifique essa necessidade.

Na visão de Roberta Buso, Advogada Jurídico Consultiva da Febraban, o início de contagem do prazo deve ser o momento em que uma apuração mínima constatar definitivamente o vazamento com risco relevante. Essa decisão permitiria às empresas já darem passos importantes na elucidação do ocorrido.

“Além disso, a comunicação não precisa ser feita ao mesmo tempo para o titular e à ANPD. Fazê-lo em momentos distintos seria mais adequado devido a toda uma especificidade na linguagem, grau de detalhamento das informações, considerações de confidencialidade, entre outros”, complementa a advogada.

Já Marcelo Crespo, professor da faculdade de direito da ESPM, ressalta que vazamentos de informações pessoais frequentemente levam meses até serem detectados e enfrentados. Devido a isso, a autoridade de proteção de dados precisa mudar o enfoque sobre a notificação de um incidente em favor da fiscalização do plano de resposta aplicado pela empresa atingida.

“A comunicação de um vazamento é uma parcela pequena da crise, além de pressupor que a ocorrência foi identificada e registrada de forma ordenada. Já um plano de gestão de crise é muito mais abrangente, pois envolve saber quem está fazendo o quê, como, quando e por quê. A ANPD precisa começar a colocar como boa prática o estabelecimento de planos de resposta à incidentes, realmente resolvendo muitos dos problemas”, conclui Crespo.


Conteúdos Relacionados

Security Report | Destaques

Toyota Brasil apura possível vazamento de documentos internos

Desde o último fim de semana, grupos de threat intel presentes na Dark Web apontaram que a gangue de ransomware...
Security Report | Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

Pesquisa da consultoria Kroll aponta que os gestores corporativos confiam integralmente nas pessoas de Segurança para responder aos riscos Cibernéticos....
Security Report | Destaques

Insegurança cibernética e IA são destaques do Security Leaders em BH

O Congresso será realizado no dia 23 deste mês com discussões pautadas na imaturidade em Cyber Security e o quanto...
Security Report | Destaques

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

De acordo com a corporação, os hackers chegaram a incluir todas as credenciais comprometidas em um banco de dados, visando...