Em um cenário onde os incidentes de segurança da informação se tornam cada vez mais frequentes, é crucial saber como agir após a constatação de um incidente. Muitas são as preocupações que passam a fazer parte da agenda de uma empresa ao lidar com um incidente: informações e dados precisam ser recuperados, efeitos do incidente precisam ser mitigados e exigências legais devem ser atendidas.
Em nossos últimos artigos, falamos um pouco sobre como identificar e se preparar para um incidente[1] mas, para além da estruturação e identificação, empresas devem saber como agir em casos de incidentes e, em especial, quais obrigações legais precisam ser cumpridas no processo de resposta.
No campo do cumprimento de exigências legais, o artigo 48 da Lei Geral de Proteção de Dados (Lei 13.709/18 ou “LGPD”), em especial, costuma ser motivo de preocupação. Isso porque, ele estabelece que incidentes de segurança da informação envolvendo dados pessoais devem ser comunicados à ANPD.
Mas será que as empresas devem comunicar todos os incidentes?
Ao contrário do que se pode pensar, nem todos os incidentes necessitam de notificação. Saber quando é essencial notificar o incidente é uma tarefa fundamental e muitas vezes complexas, uma vez que: (i) a falta de notificação pode configurar infração à LGPD; ou (ii) notificar incidentes desnecessários pode consumir tempo que poderia ser direcionado para medidas de resposta mais eficazes, atrair a atenção da ANPD sem real necessidade ou até mesmo causar impactos reputacionais à sua empresa.
Pensando nisso, neste artigo, daremos algumas dicas sobre quando notificar a ANPD. Vamos lá?
Diretrizes para Notificação à ANPD
Primeiro, pergunte-se: o incidente sofrido pela minha empresa envolve dados pessoais?
É importante destacar que o artigo 48 da LGPD não se aplica a todos os incidentes de segurança da informação, mas apenas àqueles que envolvem dados pessoais.
Como já vimos, nem todos os incidentes de segurança da informação envolvem dados pessoais. O incidente pode, muitas vezes, envolver apenas informações comerciais da empresa, a exemplo de vazamentos de estratégias de mercado ou códigos-fonte. Nestes casos, a notificação à ANPD não é necessária.
O incidente envolve dados pessoais. Ainda assim, a empresa deve notificar?
Mesmo no caso de incidentes envolvendo dados pessoais, nem sempre a notificação à ANPD será necessária. O artigo 48 da LGPD estabelece que apenas os incidentes que possam acarretar risco ou dano relevante aos titulares devem ser notificados. Incidentes pequenos ou que não possam causar prejuízo aos titulares não precisam ser comunicados à ANPD.
Por ora, cabe ao agente de tratamento, com apoio do seu DPO e demais profissionais de proteção de dados, entender internamente se os incidentes seriam ou não relevantes. Para tanto, os agentes devem adotar critérios risco para medição de incidentes e fazer uma avaliação precisa e específica do caso a caso.
Ainda não existem critérios obrigatórios, mas já há uma iniciativa da ANPD para regulamentar e padronizar os critérios de medição de incidentes, qual seja, a minuta preliminar do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.
A Minuta Preliminar do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais
Visando apoiar os agentes de tratamento na identificação do que é um incidente envolvendo dados pessoais relevante, em 02/05/2023, a ANPD disponibilizou para consulta pública a minuta preliminar do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais (ou “minuta preliminar”) [2]. A Consulta Pública sobre a minuta preliminar ficou disponível até o dia 31/05/2023 e, durante o período de tomada de subsídios, foi realizada também audiência pública [3].
A versão final do documento ainda não foi publicada pela ANPD e, por isso, a observância da minuta preliminar ainda não é obrigatória. Contudo, mesmo assim, é extremamente recomendável considerá-la para avaliar um incidente, já que nela constam critérios eleitos pelo agente regulador.
De acordo com o documento, ao avaliar se um incidente deve ser notificado, os agentes de tratamento devem se ele pode acarretar risco ou dano relevante aos titulares. Para isso, a ANPD indica que devem ser avaliados dois critérios:
(i) a natureza dos dados pessoais vazados, ou seja, analisar se o incidente envolve dados sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas ou se são dados em tratados em larga escala, considerando o volume de dados envolvidos, e a extensão geográfica da localização dos titulares; e
(ii) se o risco ou dano relevante tem o potencial de afetar significativamente os interesses e direitos fundamentais do titular, isto é, se o incidente tem o potencial de impedir o titular de usar algum serviço ou de ocasionar danos morais e/ou materiais ao titular.
Se um incidente atender aos dois critérios acima listados, cumulativamente, ele deverá ser notificado. Incidentes que não envolvam esses fatores, por outro lado, poderão ter a sua notificação dispensada.
Cuidados necessários em qualquer processo de resposta a incidentes
Em nosso último artigo, ressaltamos a importância de se ter uma Equipe de Respostas [4], isto é uma equipe multidisciplinar pré-estabelecida e preparada para responder incidentes. Independente de amplitude do incidente, envolver essa equipe em processos de resposta é fundamental.
A Equipe deve ajudar a empresa avaliando os possíveis impactos – não só do ponto de vista de proteção de dados, mas também regulatórios, comerciais e reputacionais –, para que seja possível a tomada de decisão informada, além de poder colaborar com o processo de documentação do incidente, desde a sua avaliação até a tomada de decisões e na preservação das evidências.
Ademais, sempre que houver dúvida sobre a necessidade de notificação, é prudente fazê-la, pois a ausência de notificação pode acarretar a incidência de sanção administrativa.
É, por fim, altamente recomendável contar com o apoio de um profissional de proteção de dados nesse processo, mesmo que você não conte com uma Equipe de Resposta formalizada. Dessa forma, as decisões podem ser tomadas com maior precisão e orientação, e os processos de resposta a incidentes de segurança da informação podem ser conduzidos de forma mais eficaz e coerente.
Referências
[1] https://dcom.law/pb/voce-sabe-como-reconhecer-e-o-que-fazer-em-caso-de-incidente-de-seguranca-da-informacao/
[3] https://www.youtube.com/watch?v=5KCIVpnmnsA. Acesso em 27.09.2023
[4] https://dcom.law/pb/minha-empresa-precisa-de-uma-equipe-de-resposta-a-incidentes/
