O que fazer quando ocorrem incidentes de segurança?
Incidente de segurança é definido como um único ou uma série de eventos de segurança, indesejáveis ou inesperados, que tenham a probabilidade significativa de comprometer a operação as negócios e impactar algum(uns) dos atributos da segurança da informação (confidencialidade, a integridade e a disponibilidade).
Quando um incidente de segurança acontece é necessário primeiramente analisar se houve violação de dados pessoais, que ocorre sempre que informações pessoais são perdidas, acessadas, ou divulgados sem autorização (ex. furto de documento ou envio de mensagem eletrônica que contenha informações pessoais para a pessoa errada, verificação inadequada da identidade de alguém, ataque cibernético, desastre natural (ex. incêndio).
Se a resposta for afirmativa, uma segunda análise deverá ser feita, para apurar se a violação causou risco ou prejuízo relevante aos titulares de dados, caso em que deverá ser notificada a Autoridade Nacional de Proteção de Dados e o Titular (art. 48 da Lei 13.709/18).
Alguns incidentes de segurança podem ter risco mais baixo, passíveis de gerenciamento sem a necessidade de notificação aos titulares e a ANPD. Para avaliar o grau de risco, é preciso levar em consideração, minimamente, os seguintes aspectos: a) se a quantidade de titulares de dados afetados pelo incidente é grande; b) se há risco ou dano relevante aos direitos dos titulares de dados; c) se o incidente ou suspeita de incidente pode despertar o interesse da mídia ou de outras partes interessadas. Se a resposta a esta análise for negativa, o risco do incidente pode ser considerado baixo.
Se qualquer dos itens acima tiver resposta afirmativa, trata-se de incidente de risco alto, devendo ser tomadas as providências exigidas pela lei. Recomenda-se que as empresas contem com um encarregado de dados que – além da adequação à LGPD – é responsável pela elaboração do Plano de Resposta a Incidentes e pelo respectivo gerenciamento junto aos responsáveis pelo TI e pelo Jurídico da organização.
Paola Roos – 9 de março de 2022