O que deve conter no mínimo no comunicado do controlador a ANPD e aos titulares de dados no caso de ocorrência de incidente de segurança?

Artigo aborda boas práticas de gestão de incidentes e orientações de órgãos controladores para os titulares de dados pessoais das organizações

Vazamentos de dados pessoais já não são mais novidade. Dia após dia, notícias inundam as redes com a força e a rapidez de uma grande adutora de água estourada. E, apesar de as empresas afetadas se apressarem para comunicar e se esforçarem para conter e tratar rapidamente o incidente, na maioria das vezes os titulares já foram impactados com mais um vazamento dos seus dados pessoais.

De acordo com o Relatório da Atividade Criminosa Online no Brasil, publicado em fevereiro deste ano pela empresa Axur, 2,8 bilhões de registros foram expostos no ano passado, número que manteve o Brasil, pelo segundo ano seguido, como o campeão mundial em vazamento de dados.

Conteúdo dos 24 vazamentos de 2021, separados por trimestre. Fonte: Axur

Em estudo recentemente divulgado pelo jornal Estado de São Paulo, a consultoria alemã Roland Berger afirmou que, a cada segundo, uma empresa brasileira recebe uma tentativa de ataque hacker, ritmo que coloca o Brasil no 4º lugar entre os com maior volume de tentativa de ataques ransomware; em 2020, estava na 9ª posição. Ainda de acordo com a consultoria, a estimativa é que existam ao menos 17 grupos hackers atuando em ciberataques no Brasil, o que coloca o país na liderança desse tipo de criminalidade na América Latina. “Qualquer empresa de porte e com fluxo de caixa grande é hoje alvo de ransomware”, afirmou Marcus Ayres, sócio-diretor da Roland Berger para a área de indústria e tecnologia.

O que fazer nesse cenário?

Diante desse panorama, como parte dos processos corporativos de gestão de incidentes, o agente de tratamento deve estabelecer responsabilidades e procedimentos para a identificação e registro de violações de dados pessoais. Deve, ainda, estabelecer responsabilidades e procedimentos relativos à comunicação para as partes interessadas nas violações de dados pessoais e à divulgação para as autoridades, levando em conta a regulamentação e/ou legislação aplicadas.

Cada organização, de acordo com o seu porte, deve possuir equipes que atuem no tratamento de incidentes de segurança da informação. O mais comum é a formação ou contratação de um Centro de Operações de Segurança, também conhecido como SOC. A equipe do SOC coordena e executa medidas de contenção e mitigação do incidente cibernéticos, como também notifica a equipe do Encarregado para registro de incidentes que contenham dados pessoais (violação de dados pessoais).

Incidentes de indisponibilidade característicos do modelo ITIL, de gestão de incidentes de serviços, também devem ser monitorados e comunicados à equipe do Encarregado para avaliação e acompanhamento. Esses tipos de incidentes geralmente são gerenciados por equipes que formam o Centro de Operações de Rede (NOC), que tem a responsabilidade de gerenciar a operação dos serviços hospedados nos centros de dados (data center) e atuar diretamente em casos de incidentes de indisponibilidade de alta prioridade que possam gerar riscos ou danos relevantes aos titulares de dados pessoais.

Não esquecer da segurança física

Cabe destacar também que, por maior que possam ser os riscos no ambiente cibernético, os riscos à segurança física dos ambientes corporativos não podem ser negligenciados, principalmente em ambientes críticos, como o centro de dados (data center) e salas de arquivo de guarda de documentações em papel, como prontuários médicos de funcionários e prestadores de serviço.

A equipe de segurança física deve controlar o acesso físico às instalações, adotando como requisito de segurança a identificação e autorização de entrada para circulação de pessoas e veículos em suas dependências, em conformidade com as determinações constantes em um sistema de gestão de identidade e acesso e manuais de procedimentos. A equipe também deve comunicar incidentes de acesso não autorizado a dados pessoais à equipe do Encarregado, para providências de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018).

Simulação de incidentes

Uma outra boa prática na gestão de incidentes para os agentes de tratamento, encontrada em frameworks de segurança da informação (como a ISO/IEC 27035, que fornece as diretrizes para planejar e preparar a resposta à incidentes, e o NIST Cybersecurity Framework, um guia de aperfeiçoamento da segurança cibernética para infraestrutura crítica) é a realização de exercícios de simulação de incidentes.

O objetivo dessas simulações é a elaboração de cenários de riscos em ambientes controlados, para que os planos de resposta a incidentes de segurança da informação e o plano de resposta à violação de dados pessoais possam ser testados, preparando as equipes que tratam incidentes para atuarem em casos reais com as lições aprendidas nesses exercícios.

Trabalho de equipe

Importante destacar que a equipe do Encarregado deve ser multidisciplinar e com habilidades distintas em diversas áreas de atuação, de forma a garantir todo o escopo da LGPD e a sua conformidade. Para atuação no processo de gestão de incidentes, essa equipe deve receber os registros de violação de dados pessoais de todas as equipes que tratam incidentes na organização e avaliar as necessidades de comunicação à Autoridade Nacional de Proteção de Dados - ANPD, ao titular ou até mesmo ao controlador, quando for operador.

Nós, como titulares de dados pessoais e empoderados pela LGPD, fazemos parte do problema, mas também fazemos parte da solução. Precisamos estar conscientes que boas práticas de segurança, privacidade e proteção de dados andam de mãos dadas, seja na vida pessoal ou profissional. E precisamos praticá-las no dia a dia contra as violações dos nossos dados pessoais.

O que orienta a ANPD

Para tentar evitar os crimes cibernéticos e diminuir os impactos aos titulares de dados pessoais, o artigo 46 da Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que: “os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Na ocorrência de incidentes de segurança com dados pessoais, a ANPD recomenda aos agentes de tratamento as seguintes ações abaixo:

1. Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.
2. Comunicar ao encarregado (Art. 5.º, VIII da LGPD).
3. Comunicar ao controlador, se você for o operador, nos termos da LGPD.
4. Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Artigo 48 da LGPD).
5. Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
   

O artigo 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD também recomenda que embora a responsabilidade e a obrigação pela comunicação sejam do controlador, caso excepcionalmente sejam apresentadas informações pelo operador, estas serão devidamente analisadas pela ANPD.

Ainda nas orientações para comunicação de incidentes de segurança com dados pessoais, a ANPD é taxativa ao afirmar que um incidente de segurança, que possa acarretar um risco ou dano relevante aos titulares afetados, deve sempre ser comunicado. Porém, a ANPD esclarece que critérios mais objetivos serão objeto de futura regulamentação, e que, de toda forma, pode-se extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que:

• O incidente envolver dados pessoais sensíveis.
• O incidente envolver indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes.
• Tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.
  

Deve-se considerar também:

• O volume de dados envolvido.
• O quantitativo de indivíduos afetados.
• A boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente.
• A facilidade de identificação dos titulares por terceiros não autorizados.
  

Na ausência de definição de critérios mais objetivos pela ANPD para avaliação da gravidade do incidente para comunicação, os agentes de tratamento, no âmbito da LGPD, podem encontrar orientações nas agências supervisoras e reguladoras que compõe a União Europeia. Como no caso da Agência da União Europeia para a Segurança da Rede e da Informação (ENISA), que definiu critérios para comunicação à autoridade supervisora e aos titulares de dados pessoais.

De forma resumida, a ENISA orienta uma avaliação de critérios levando em consideração o contexto do tratamento, identificando: a categoria de dados pessoais envolvida na violação; a facilidade de identificação do titular, quando for mais difícil identificar os titulares de dados pessoais afetados, menor será a gravidade; e, por último, a circunstância que quantifica os tipos de violações que podem ser apresentadas no incidente. No cruzamento desses critérios é apresentado o resultado, em valor numérico, que irá nortear a conduta do Controlador perante as suas obrigações de comunicações em conformidade com a LGPD.

A gravidade de um incidente poderá ser classificada em uma escala, desde um mero inconveniente para os titulares de dados pessoais, a incidentes, nos quais os titulares de dados pessoais podem enfrentar consequências com perdas significativas ou irreversíveis, que ofereçam dificuldade ou impossibilidade de superação, como dívidas substanciais, incapacidade para trabalho, danos psicológicos de longo prazo, morte, etc.

De acordo com o nível de gravidade definido, o agente de tratamento deverá adotar providências específicas. Para incidentes brandos, basta apenas registrar o tratamento realizado para futura prestação de contas, sem realizar comunicações. Já para incidentes mais severos, poderá ser necessário que o Controlador comunique aos titulares envolvidos de forma personalizada ou, caso não seja possível, disparar nota pública detalhada à imprensa e divulgar de forma ampla no sítio da organização instruções e procedimentos que possam ser adotados para que o titular não sofra maiores impactos, além de comunicar a ANPD.

Por fim, a ANPD recomenda aos Controladores que adotem uma posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos Controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

____________

Sobre o autor

Profissional com mais de 20 anos de experiência, atualmente faz parte da equipe do Departamento de Governança do Programa de Privacidade e Proteção de Dados, atuando principalmente nas atividades de revisão e elaboração de normas corporativas de segurança da informação, privacidade e proteção de dados pessoais; na gestão de incidentes com violação de dados pessoais; gestão de riscos e gestão de conformidade em privacidade e proteção de dados pessoais. 

O que deve ser comunicado à ANPD em caso de incidentes de violação de privacidade?

Quem o controlador deve informar em caso de incidente de segurança LGPD?

Quando a autoridade nacional ANPD deve ser informada?

Quem é responsável pela comunicação entre controlador operador e os titulares de dados e a ANPD?