Vazamento de dados: o que fazer?

A primeira coisa que deve ser esclarecida é que não existe uma empresa 100% segura no que toca à segurança de informação – em algum grau, todas as empresas são vulneráveis ao vazamento de dados e a incidentes de segurança.

A vulnerabilidade pode ser externa, o que implica na possibilidade de a empresa sofrer ataques de terceiros, ou interna, uma vez que o incidente de segurança pode resultar de ações dos próprios funcionários da empresa.

Se não existe uma empresa 100% segura, então, o que fazer diante da hipótese de incidente de segurança?  

Incidente de Segurança ou Vazamento de Dados?

A Lei Geral de Proteção de Dados determina que em caso de incidente de segurança tanto a Autoridade Nacional de Proteção de Dados (ANPD) quanto o titular dos dados vazados devem ser informados.

Perceba que a LGPD não fala diretamente em “vazamento de dados”, mas em “incidente de segurança”. O que isso quer dizer?

Incidente de segurança é um termo muito mais amplo que vazamento de dados, e implica em qualquer acontecimento indesejado ou inesperado, confirmado ou pendente de confirmação, que possa comprometer a segurança de dados pessoais. O vazamento de dados pessoais, assim, é apenas uma das hipóteses de um incidente de segurança.

O que fazer quando houver incidente de segurança?

Ao tomar ciência de um incidente de segurança, mesmo em se tratando de situação em que exista dúvida sobre a relevância dos dados e os riscos a que foram expostos seus titulares, o setor responsável pela segurança da informação deverá descobrir e sanar eventual problema técnico existente, enquanto o Encarregado de Dados (DPO) ou a consultoria externa da empresa deverão agir para adotar as medidas impostas pela LGPD.

Os parâmetros para a comunicação do incidente de segurança foram dados pelo artigo 48 da LGPD, sendo que a regulamentação de como correrá o processo de comunicação do incidente já se iniciou pela Autoridade Nacional de Proteção de Dados, em nota técnica divulgada no dia 22 deste mês.

Uma das informações mais relevantes trazida pela nota técnica foi o prazo para que seja realizada a comunicação, uma vez que a lei trouxe um prazo em aberto ao mencionar que a comunicação deverá ser realizada em “prazo razoável, conforme definido pela autoridade nacional”.

Assim, o prazo fixado pela Autoridade Nacional de Proteção de Dados foi de 2 (dois) dias úteis, a contar da ciência do incidente.

A ANPD disponibilizou, ainda, um modelo de como deve ser realizada a comunicação do incidente de segurança, que pode ser obtido neste link. Dentre as informações que devem ser informadas à ANPD, encontram-se as seguintes:

Prevenção e transparência

A importância de a empresa se encontrar em Compliance com a LGPD se evidencia ainda mais no caso de incidentes de segurança.

Um dos critérios que será levado em conta no momento da aplicação da penalidade pela ANPD, em virtude de incidente de segurança, é a existência ou não de um programa de governança em privacidade de dados.

Se durante a apuração do incidente a empresa demonstrar que sempre agiu com diligência quanto à proteção de dados pessoais, a ANPD amenizará a penalidade imposta à empresa, o que pode leva a empresa a receber uma advertência – ao invés da temida multa de 2% (dois por cento) sobre o faturamento, ou da suspensão no tratamento de dados pessoais.

Da mesma forma, a cooperação da empresa quanto à apuração dos danos resultantes do incidente de segurança também será levada em conta no momento da aplicação da penalidade.

Assim, percebe-se claramente que a LGPD privilegia aqueles que atuam com diligência e transparência no trato dos dados pessoais de terceiros. Uma empresa que esteja em Compliance com a LGPD, certamente terá vantagens no (indesejado) evento de segurança.

Dúvidas, sugestões ou críticas? Entre em contato conosco! Suas dúvidas serão esclarecidas e sua opinião é fundamental para nós.