Tive um incidente de segurança da informação, e agora?

Tive um incidente de segurança da informação, e agora?

Um incidente de segurança pode ocorrer com qualquer indivíduo, por isso, é importante saber qual procedimento seguir quando essa situação ocorre.
Com a entrada da LGPD (Lei Geral de Proteção de Dados) em agosto de 2020, a comunicação da ocorrência de incidentes de segurança com dados pessoais pode tornar-se obrigatória, sendo a ANPD (Autoridade Nacional de Proteção de Dados) o órgão que fiscaliza o cumprimento dessa Lei.
De acordo com a Lei de Dados, os incidentes de segurança da informação que devem ser reportados à ANPD são situações onde dados pessoais sofrem evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança destes dados, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada.
O Art. 47 da LGPD cita que “Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término”.
Por outro lado, o Art. 48 orienta que “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência do incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
Estes artigos da LGPD deixam bem claro que a responsabilidade sobre a proteção dos dados pessoais e a comunicação de incidentes é do controlador destas informações.

Mas, afinal, o que fazer quando ocorre um incidente com dados pessoais?

• Analisar o incidente de segurança, isto é, que dados foram afetados, quantidade de dados, ações de proteção que eram empregadas para esses dados e consequências do incidente;

• Comunicar ao encarregado de dados (DPO);

• Comunicar ao controlador, se for o operador destes dados;

• Comunicar à ANPD e ao titular de dados;

• Por fim, elaborar um documento de avaliação interna do incidente, medidas tomadas e análise de risco.

A LGPD define como o prazo para essa comunicação o termo “prazo razoável”, porém até a criação de uma regulamentação oficial, a própria ANPD orienta em seu site oficial que este prazo seja de 2 dias úteis, contados a partir da data do conhecimento do incidente.
Então, sempre de ocorrer um incidente de segurança com dados pessoais que possam acarretar riscos ou danos aos seus titulares, esta ocasião deve ser comunicada à Autoridade Nacional de Proteção de Dados e aos seus titulares.
A ANPD criou um formulário para comunicação de incidentes de segurança que pode ser acessado aqui.
Além disso, o documento preenchido deve ser enviado através do peticionamento eletrônico no site da ANPD. Também é importante lembrar que, para evitar riscos com incidentes de segurança, a gestão de contratos da empresa precisa ter processos robustos e padronizados.
Continue acompanhando nosso blog para conferir todas as atualizações e notícias sobre a segurança de dados na internet. Não deixe de conhecer nossos serviços! Acesse aqui e reduza os riscos de invasão no seu negócio.