A ANPD estabeleceu critérios para a comunicação de incidentes de Segurança. Contudo, há ainda muitas dúvidas quanto aos gatilhos para o dever de comunicar. Com base no direito comparado e em boas práticas. No painel "Anatomia de um Incidente de Segurança", realizado na 5ª edição do Data Protection Forum, os painelistas discutiriam as lacunas para que as empresas possam "navegar" com mais segurança em momento de grande stress para as organizações.
Para Gustavo Batistuzzo, Gerente Técnico no Instituto Brasileiro de Peritos e coordenador do IBP TECH, nos últimos tempos muito se falou nas empresas aspectos exclusivamente ligados à LGPD, mas estas não poderiam estar alheia a todo o restante dos ataques a que podem estar sujeitas.
"Quem se preparou para atender as exigências da legislação deveria estar também preparado para outros incidentes. Mas é fato que existe um despreparo para com os demais dados, os não pessoais, mas que são sensíveis dentro das organizações . Neste sentido é preciso saber que se caracteriza como incidente qualquer tratamento de dados diferente do que está estabelecido pela LGPD, qualquer tratamento, mexeu no dado é um tratamento. No momento que "se mexe" com o dado e ele não é esperado pela organização se trata de um incidente", explicou Batistuzzo.
Para o especialista, a preocupação atualmente para aquelas organizações que não se prepararam para a entrada em vigor da LGPD é correr para se adequar e se preparar para ela. "Entendemos que se preparar implica em ter processos muito robustos e que sejam auditáveis". "Entre os mais expressivos incidentes estão os temidos ransomwares que atacam sistemas e derrubam toda a companhia, mas que por vezes, os atacados não tinham a menor ideia do que estava acontecendo, ataques silenciosos que monitoram como acontecem as comunicações entre os executivos e as áreas da empresa até realizar efetivamente o ataque. Para esses e todos os tipos de ataque o recado é um só: tenham planos prévios auditáveis, para com isso ter segurança para fazerem as investigações necessárias, sejam em dados pessoais ou qualquer outro tipo de dado, que eles estejam guardados em lugar seguro fora dos ambientes que possam sofrer ataques e assim ter a segurança na tomada de decisão de acionar a autoridade e tomar as atitudes necessárias", complementou
Fabio Aspis, Regional Senior Data Privacy Counsel – South America no Rabobank Brasil, cofundador do Juventude Privada e da Law-B, reiterou que incidentes de segurança não são novidades e embora haja mais questionamentos no momento de notificar as autoridades, alguns recortes devem ser evidenciados sendo o primeiro deles que envolvem dados pessoais, informações que envolvem pessoas física, o segundo a quebra dos princípios de segurança da informação – availability (disponibilidade do dado ); integrity ( alteração integridade dos dados disponíveis) e a confidencialidade ( se não houve acesso de qualquer forma ao dado).
'Diante da LGPD os mesmos princípios da segurança de dados são aqueles que devem ser observados. O que irá variar é a interpretação que vai se dar ao tema o que se vai considerar como risco relevante do ponto de vista do titular, mas na LGPD não traz isso claro do ponto de vista do agente de tratamento e também o que considerar materialmente para se ter uma notificação como incidente de segurança como alguns critérios definidos mas que abrem margem para discricionariedade", argumentou o especialista.
Segundo ele, embora ainda haja algumas dúvidas sobre as notificações há consenso que os incidentes ter sejam tratados de forma rápida e efetiva diante das boas práticas; possuir um time multidisciplinar já que a LGPD não se foca exclusivamente no aspecto jurídico e ter uma proximidade com o time de segurança para se ter respostas mais efetivas e rápidas nos incidentes. "E sempre ter medidas preventivas e corretivas para prestação de contas e na falta de critérios mais específicos ter sobre os critérios de notificações a clareza de ter controles internos sobre todo evento a fim de atender a regulação", disse.
Segundo Marcelo Guedes, Coordenador-Geral de Tecnologia e Pesquisa da ANPD, que participou remotamente do evento, lembrou que as normas sobre notificações ainda estão sendo elaboradas e pretendem abarcar a maioria das dúvidas enfrentadas pelas empresas, mas que embora não venham a atender a todas as minúcias há sempre a intenção do órgão regulador em avaliar individualmente cada caso.
Para o coordenador da ANPD, estamos ainda vivendo uma fase de amadurecimento onde as dúvidas existem e serão atendidas à medida que se for experienciando os vários questionamentos. "O importante é saber que as organizações devem estar atentas ao escopo do que se entende por incidente de segurança da informação e suas boas práticas e neste aspecto a importância do gerenciamento de riscos, proteger adequadamente a empresa diante dos riscos no tratamento dos dados pessoais de terceiros para os quais muitas companhias já estão se preparando e dessa forma tangibilizar o impacto ao titular do dado em caso de incidentes", lembrou.
"Muitas empresas já tratam todo esse espectro da segurança com investimentos para gestão de riscos, tem maturidade de processos e dimensionam os impactos que os incidentes de segurança podem proporcionar aos titulares dos dados. Neste aspecto estamos todos aprendendo cada vez mais sobre isso e avançar neste processo de aprendizado, mas sempre com estar atento ao risco , ter apetite ao risco, ou seja, buscar as melhores estratégias para mitigar ou evitar riscos com foco neste terceiro envolvido e implementar as medidas necessárias", finalizou.
