A transformação digital trouxe um fluxo contínuo e crescente de dados pessoais coletados e armazenados, tornando a segurança da informação a prioridade número um para as organizações. A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para proteger essas informações, mas as ameaças cibernéticas estão sempre evoluindo, o que exige atualizações nas regulamentações.
Recentemente, o portal Infomoney noticiou a possível exposição dos dados de 560 milhões de consumidores da empresa Ticketmaster. Tendo em vista que incidentes de vazamento de dados tem sido frequentes no Brasil, em 2024, foram introduzidas novas regras para aprimorar a forma como as empresas devem lidar com incidentes de segurança. Essas mudanças visam preencher lacunas na legislação anterior e proporcionar uma resposta mais eficiente em casos de violações de dados.
As empresas agora têm a obrigação de agir rapidamente quando um incidente de segurança de dados pessoais ocorre. Isso envolve comunicar imediatamente as autoridades e os titulares afetados para reduzir danos e manter a transparência. A nova regulamentação de 2024 impõe novas responsabilidades e incentiva a proatividade por parte das empresas em relação à proteção de dados.
Para as empresas, isso significa a necessidade de aprimorar continuamente suas práticas de segurança, mantendo-se sempre à frente das ameaças. Neste artigo, exploraremos como funciona a comunicação de Incidente de Segurança na LGPD, conforme a Resolução CD/ANPD nº 15. Continue lendo para se atualizar sobre essa importante mudança!
Como se caracteriza um incidente de segurança da informação?
O incidente de segurança da informação ocorre quando há qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade dos dados. De acordo com a Resolução CD/ANPD nº 15, de 24 de abril de 2024, a qual aprovou o novo Regulamento de Comunicação de Incidente de Segurança, o incidente pode se manifestar das seguintes maneiras:
- Acesso não autorizado: Quando pessoas ou empresas não autorizadas acessam sistemas ou dados protegidos.
- Destruição ou perda de dados: Quando dados são destruídos, seja acidentalmente ou intencionalmente, ou quando há perda irreversível de dados;
- Alteração de dados: Quando dados são modificados sem permissão, resultando em informações incorretas ou corrompidas;
- Divulgação inadequada de dados: Quando informações confidenciais são expostas ou divulgadas de forma imprópria, seja por intenção ou erro;
- Tratamento inadequado ou ilícito: Quando dados pessoais são processados de maneira que infringe políticas de segurança ou regulamentações legais;
- Interrupção de serviços: Quando a disponibilidade de serviços ou sistemas é comprometida por ataques de negação de serviço (DDoS) ou falhas técnicas graves;
- Fraude ou roubo de identidade: Quando informações são usadas para fraudar ou roubar a identidade de alguém;
- Exploração de vulnerabilidades: Quando falhas em sistemas de segurança são exploradas para obter acesso não autorizado ou causar danos.
Note que esses eventos envolvem a violação de políticas de segurança ou expõem a riscos que afetam a proteção das informações e a operação normal dos sistemas.
Quais são os tipos de incidentes?
Os incidentes de segurança da informação variam conforme sua natureza e gravidade. Alguns dos tipos mais comuns são:
- Vazamento de dados: Divulgação não autorizada de informações sensíveis ou confidenciais;
- Acesso não autorizado: Quando pessoas ou sistemas não autorizados obtêm acesso a dados ou recursos protegidos;
- Ataques de malware: Incidentes envolvendo software malicioso, como vírus, worms, trojans, ransomware e spyware;
- Phishing: Tentativas fraudulentas de obter informações sensíveis por meio de e-mails ou mensagens enganosas;
- Ataques de Denial of Service (DoS) e Distributed Denial of Service (DDoS): Quando sistemas são sobrecarregados com tráfego malicioso, tornando-os indisponíveis para usuários legítimos;
- Manipulação de dados: Alteração não autorizada que resulta em informações incorretas ou corrompidas;
- Perda de dados: Exclusão acidental ou corrupção de dados que não podem ser recuperados;
- Interrupção de serviços: Incidentes que afetam a disponibilidade de serviços devido a falhas técnicas, ataques ou problemas operacionais;
- Uso indevido de recursos: Quando recursos de TI são utilizados de maneira inadequada ou não autorizada;
- Violação de políticas de segurança: Incidentes causados por negligência, erro ou ações maliciosas que violam as políticas de segurança da organização.
Cada tipo de incidente requer uma resposta específica, dependendo de sua natureza e impacto potencial.
Como a LGPD define um incidente de segurança?
A LGPD caracteriza um incidente de segurança como qualquer situação que envolva acessos não autorizados, destruição, perda, alteração, comunicação ou tratamento inadequado de dados pessoais. Logo, é qualquer evento que comprometa a integridade, confidencialidade ou disponibilidade dos dados pessoais tratados pela organização.
Quando devo comunicar um incidente de segurança com dados pessoais?
A comunicação à ANPD deve ser feita à ANPD no prazo previsto em caso de potencial risco ou dano relevante aos titulares dos dados, ou seja, casos que coloquem em risco a preservação dos direitos e interesses dos titulares, tais como:
- Dados sensíveis (saúde, origem racial, opiniões políticas etc.);
- Dados de crianças, adolescentes ou idosos;
- Dados financeiros;
- Dados de autenticação em sistemas;
- Dados protegidos por sigilo legal, judicial ou profissional;
- Dados em larga escala, abrangendo um número significativo de titulares.
Note que se o incidente tem o potencial resultar em danos materiais ou morais, como discriminação, violação de integridade física, fraudes financeiras ou roubo de identidade, deve-se comunicar à ANPD. A comunicação deve ser feita no prazo de três dias úteis, conforme a Resolução n° 15/2024.
O que fazer em caso de incidente de segurança com dados pessoais?
Caso ocorra um incidente de segurança com dados pessoais, siga estes passos:
- Identifique o incidente: Determine a natureza e a extensão do evento, identificando os dados afetados e a forma como ocorreu;
- Avalie o impacto: Analise o risco ou dano potencial aos titulares dos dados, considerando a gravidade e a amplitude do impacto;
- Contenha o incidente: Tome medidas para parar a continuidade do incidente e evitar sua expansão, como desconectar sistemas, mudar senhas ou outras ações corretivas;
- Mitigue os efeitos: Reduza os danos e mitigue as consequências, informando os titulares afetados e oferecendo suporte;
- Informe à ANPD: Comunique o incidente à Autoridade Nacional de Proteção de Dados (ANPD) no prazo de três dias úteis, detalhando a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas;
- Notifique os titulares dos dados pessoais: Se o incidente representa um risco relevante, informe os titulares afetados sobre o ocorrido, o impacto e as medidas que estão sendo tomadas;
- Documente o incidente: Registre todas as informações relacionadas ao incidente, incluindo a detecção, as ações tomadas e as comunicações realizadas.
Após o incidente, realize uma revisão para identificar falhas no processo de segurança e implemente melhorias para prevenir futuros eventos.
Se você gostou desse conteúdo, deixe seu comentário e compartilhe com que ele possa ser útil!