• Vitória Silva | @vimato__

O que fazer IMEDIATAMENTE depois de um incidente que afeta a segurança?

gif

A operação brasileira do McDonald 's, recentemente, acabou sendo vítima de um ataque cibercriminoso, que teve como consequência a exposição de dados pessoais de alguns de seus clientes. O aviso sobre o incidente está sendo veiculado através de um e-mail que tem chegado aos clientes desde o dia 17/04/2022. A companhia também comunicou à imprensa já ter informado à Autoridade Nacional de Proteção de Dados (ANDP) e ter tomado as medidas cabíveis para minimizar qualquer dano causado pelo ataque, além de estar trabalhando para reforçar as medidas de proteção aos dados pessoais de seus clientes.


Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, como principal instrumento legislativo nacional que assegura regras específicas sobre o tratamento de dados pessoais, não tem sido difícil encontrar casos de vazamentos, ataques ou tratamentos indevidos no que se refere a esse tipo de dado. É verdade que, mesmo após a adequação interna da empresa à LGPD, ainda existem riscos práticos quanto à segurança. A pergunta que fica é: o que uma empresa deve fazer logo após um incidente quanto à proteção de dados pessoais, independente da causa que o motivou?


Cabe contextualizar que o artigo 46 da LGPD atribui a responsabilidade de garantir a segurança da informação aos agentes de tratamento (Controlador e Operador dos Dados). O Controlador é a figura responsável por tomar decisões a respeito dos dados de um Titular de Dados, enquanto o Operador é aquele que executa o tratamento, seguindo as orientações e as diretrizes do Controlador. No exemplo dado no início, o McDonald's é o Controlador, enquanto os Titulares de Dados seriam todos os clientes que cedem os seus dados, por exemplo no momento da compra.


Essa segurança da informação se refere, com base no próprio artigo 46 da LGPD, a: (i) confidencialidade, resguardando tais dados do acesso de terceiros não autorizados. (ii) integridade, evitando que sejam eliminados sem uma base legal adequada e (iii) disponibilidade, garantido que estejam sempre disponíveis para quem tem direito. Quando qualquer um desses aspectos é violado, estamos diante de um Incidente de Segurança das Informação, assim definido pelo próprio Governo Federal, no seu site oficial:


“Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.”

Ocorrendo o incidente de segurança de dados pessoais, o artigo 48 da LGPD elenca um “roteiro” a ser seguido. A primeira medida a ser tomada é verificar se o incidente pode causar risco ou dano relevante aos titulares de dados. Caso seja verificado que sim, o incidente deverá ser comunicado à ANPD e aos titulares de dados. Caso haja dúvida sobre esse critério, a Autoridade orienta que seja comunicado, seguindo um dever de cautela.


Para comunicar à ANPD, foi disponibilizado um formulário a ser preenchido e logo enviado por meio do canal de comunicação.


A forma de comunicação de um incidente é padronizada e o artigo 48, aqui já mencionado, informa o que precisa ser descrito: (i) natureza dos dados afetados; (ii) informações sobre os titulares envolvidos; (iii) indicação de medidas técnicas de segurança utilizadas para a proteção de dados na empresa; (iv) riscos decorrentes do incidente; (v) motivo de demora no caso de a comunicação não ter sido imediata; e (vi) medidas que foram ou estão sendo tomadas para minimizar as consequências do incidente. Logo após a comunicação, que deve ser feita em prazo razoável para que medidas urgentes sejam tomadas, a ANPD irá verificar o caso de acordo com a gravidade da violação, além de determinar medidas que devem ser tomadas pelos responsáveis.


O processo que envolve um incidente costuma ser desgastante para o relacionamento com os clientes da empresa e, por isso, a melhor medida é sempre a prevenção, para que não aconteçam novos incidentes de segurança dos dados pessoais. Quer saber um pouco mais sobre essas medidas? Continua acompanhando nosso Blog!