Visando fortalecer a proteção de dados no Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) atualizou as regulamentações sobre a comunicação de incidentes de segurança com a promulgação da Resolução CD_ANPD Nº 15, em 24 de abril de 2024. A nova resolução impõe prazos específicos e exige comunicações mais detalhadas para garantir que as entidades manuseiem dados pessoais com maior responsabilidade.
A legislação estabeleceu o prazo de 72 horas para que as entidades notifiquem as autoridades e os indivíduos afetados após a descoberta de um incidente de segurança. Este prazo é muito reduzido e, caso não haja uma preparação prévia por parte da empresa, dificilmente será cumprido. Por outro lado, há que se concordar que o prazo visa a celeridade necessária para a proteção do titular e mitigação dos impactos.
Conforme estabelece a Resolução, a comunicação de incidentes de segurança de dados exige um nível de detalhamento e transparência sem precedentes. Essa resolução especifica que as notificações de incidentes devem conter informações minuciosas sobre a natureza do incidente, elucidando se os dados foram expostos por ataques cibernéticos, falhas de segurança interna, perda ou qualquer outra forma de violação. Além disso, é essencial identificar claramente quais categorias de dados pessoais foram afetadas—dados sensíveis, identificadores pessoais, informações financeiras, entre outros—e avaliar as possíveis consequências para os titulares desses dados.
Este aprofundamento visa proporcionar às partes afetadas informações suficientes para avaliar o risco associado ao incidente. Por exemplo, a exposição de dados pessoais sensíveis pode acarretar riscos de fraudes ou danos à reputação, exigindo ações imediatas de proteção, como o monitoramento de crédito ou mudanças de senhas. Portanto, a resolução visa não apenas a rápida comunicação do fato, mas também a utilidade dessa comunicação, permitindo que as vítimas e autoridades tomem medidas preventivas ou corretivas adequadas.
Além disso, a resolução sublinha a crítica necessidade de documentação e comunicação imediata das medidas de mitigação tomadas após a descoberta de um incidente. As entidades são agora obrigadas a desenvolver e manter planos de resposta a incidentes que detalhem não somente as estratégias de contenção para limitar a exposição de dados, mas também os procedimentos de recuperação para restaurar a segurança dos sistemas informatizados. Estes planos devem ser capazes de ser ativados instantaneamente após a detecção de um incidente, com passos claramente definidos para a comunicação interna e externa, avaliação da extensão do dano e as ações de contenção específicas a serem implementadas.
A intenção é que, com planos de resposta bem estruturados e praticados regularmente, as organizações possam não apenas reagir mais rapidamente a incidentes, mas também reduzir significativamente o impacto desses incidentes sobre os dados pessoais e a privacidade dos indivíduos afetados. A implementação dessas medidas de mitigação não só é crucial para a proteção dos dados, como também reforça a postura de responsabilidade e transparência das organizações perante seus usuários e a regulamentação vigente.
Outro ponto crucial da nova normativa é a exigência de transparência e responsabilidade no manejo de incidentes de segurança. As entidades devem manter registros detalhados de todas as violações de segurança, disponíveis para inspeção pela ANPD a qualquer momento. Essa obrigatoriedade pretende aumentar a responsabilidade das organizações no tratamento dos dados pessoais, reforçando a confiança pública na gestão de informações sensíveis.
Para cumprir com as novas exigências, as organizações precisarão revisar suas práticas de segurança da informação, possivelmente reformulando procedimentos e investindo em sistemas avançados de monitoramento e detecção de ameaças. Além disso, o treinamento contínuo dos funcionários será essencial para assegurar que eles estejam aptos a responder prontamente a qualquer incidente de segurança.
Diante das exigências rigorosas impostas pela Resolução CD_ANPD Nº 15, fica a questão crucial para todas as organizações: sua empresa está verdadeiramente preparada para responder a um incidente de segurança de dados?
Avaliar a robustez dos sistemas de detecção e resposta, a adequação dos planos de mitigação e a eficácia dos protocolos de comunicação não é apenas uma necessidade regulatória, mas uma medida essencial para proteger a integridade dos dados e a confiança dos stakeholders. As organizações devem revisar e adaptar suas estratégias de segurança da informação regularmente, garantindo que estejam sempre em conformidade com as normas atualizadas e prontas para agir de maneira decisiva diante de qualquer ameaça à segurança dos dados pessoais.
Walter Calza Neto, DPO do Sport Club Corinthians Paulista.
