Brasília, 30/3/2021
Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (“LGPD”), a adequação das instituições a essa norma torna-se imprescindível. Necessário, portanto, tratar de um dos mecanismos que qualquer Controlador[1] deve se atentar, o Plano de Ação e Resposta, essencial para os casos em que ocorrem incidentes de segurança.
O sistema operacional relativo ao tratamento de dados pessoais não é impenetrável e, sendo assim, está sujeito a falhas e invasões. Desse modo, no momento da ocorrência de incidentes de segurança o ponto chave a ser analisado é a forma de atuação do Controlador, ou seja, se possui uma política de prevenção e Plano de Ação e Resposta, este último para adequar, corrigir e melhorar os erros que o sistema constatou.
O Plano de Ação é um meio de lidar com o incidente, no intuito de limitar os danos à instituição, reduzir os custos e o tempo de recuperação desta. Não só isso, com um bom Plano de Ação, o Controlador consegue atualizar sua forma de atuação a fim de melhorar o seu sistema e cumprir a legislação com maior eficácia[2]. Por consequência, os titulares ficam mais protegidos e seguros com relação ao tratamento de seus dados pessoais.
A LGPD traça, em seu art. 48[3], as hipóteses em que o Controlador deverá comunicar à Autoridade Nacional de Proteção de Dados (“ANPD”) e ao titular a ocorrência de incidente de segurança que possa ensejar risco ou dano relevante. Ou seja, situações que, além de medidas internas, demandam a comunicação a terceiros sobre as falhas verificadas.
Justamente sob a perspectiva dessa previsão legal, que a ANPD lançou uma tomada de subsídios para ouvir a sociedade civil e disciplinar com maior clareza e objetividade os casos em que deve ser comunicada sobre incidentes de segurança.
Em nossa perspectiva, o caminho ideal é no sentido de que haja uma regulação interna da instituição, focada na Política de Privacidade e no Plano de Ação e Resposta, capaz de permitir uma atuação mais efetiva do Controlador e assim mitigar riscos e acelerar o tempo de resposta.
Tal sistema de autorregularão se comunica muito com a metodologia da Abordagem Baseada em Risco (“ABR”). Essa metodologia propõe uma avaliação singular, em que os controles estejam proporcionais aos riscos que estão sendo tomados. Nessa metodologia, a Autoridade Reguladora receberá apenas as informações relevantes, tendo em vista que o Controlador será a “primeira linha de defesa”, de modo que filtrará as informações e só comunicará, de fato, os incidentes que possuem um risco considerável para se concretizar ou já se efetivaram[4]. A ideia dessa metodologia, portanto, é garantir qualidade e não quantidade da informação repassada para a Autoridade Competente.
Assim, todo dano deve ser avaliado pelo Controlador e devidamente tratado, ainda que não seja necessariamente noticiado à ANPD e/ou titular dos dados, conforme limites do art. 48 da LGPD. No tocante ao risco em si, este deve ser analisado pelo Controlador antes de levar ao conhecimento de terceiros, de sorte que a questão da relevância deve ser ponderada com maior atenção, para afastar uma mera ameaça, que seria um risco baixo, de um risco grave, que precisa ser noticiado.
A utilização do Plano de Ação e Resposta pode auxiliar, inclusive, no que será ou não comunicado. O Regulamento Geral sobre a Proteção de Dados (legislação europeia – “GDPR” em inglês) determina, no art. 34[5], que se houver elevado risco de dano aos titulares o Controlador deverá comunicar tal situação em até 72 horas, sendo que obrigatoriamente a comunicação deverá conter as seguintes informações:
|
COMUNICAÇÃO OBRIGATÓRIA EM 72 HORAS |
| Comunicar o nome e os contatos do encarregado da proteção de dados ou de outro ponto de contato onde possam ser obtidas mais informações. |
| Descrever as consequências prováveis da violação de dados pessoais. |
| Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. |
|
HIPÓTESES PARA A NÃO COMUNICAÇÃO |
| O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem. |
| O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar. |
| Implicar um esforço desproporcional. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz. |
Importante mencionar que o Plano de Ação e Resposta deve sempre se ater ao porte da instituição, bem como suprir as exigências normativas em relação à política de segurança. Assim, convém destacar, como analogia, normas já dispostas por outros órgãos reguladores sobre o tema:
|
REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS – Artigo 32 |
| Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
a) a pseudonimização e a cifragem dos dados pessoais; b) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; c) a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; e d) um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. |
|
INSTRUÇÃO CVM Nº 505/2011 – Artigo 35-H |
| A política a que se refere o art. 35-D, inciso II, deve contemplar um programa de segurança cibernética, abrangendo, no mínimo:
I – a identificação e avaliação dos riscos cibernéticos internos e externos a que o intermediário esteja exposto; II – as medidas que devem ser adotadas para reduzir a vulnerabilidade da instituição contra ataques cibernéticos; III – procedimentos e controles internos que serão adotados para: a) verificar a implementação, a aplicação e a eficácia das medidas adotadas na forma do inciso II; e b) efetuar o monitoramento contínuo e a detecção de ataques cibernéticos em tempo hábil. IV – medidas que serão adotadas para tratamento de incidentes cibernéticos e recuperação de dados e sistemas; V – periodicidade com que o programa de segurança cibernética será testado e revisado, de forma a: a) avaliar a vulnerabilidade da instituição contra ataques cibernéticos e identificar novos riscos cibernéticos; e b) verificar a necessidade de aperfeiçoar as regras, procedimentos e controles internos existentes. |
|
RESOLUÇÃO CMN Nº 4.658/2018 – Artigos 2º e 3º |
| As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
§ 1º A política mencionada no caput deve ser compatível com: I – o porte, o perfil de risco e o modelo de negócio da instituição; II – a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e III – a sensibilidade dos dados e das informações sob responsabilidade da instituição. § 2º Admite-se a adoção de política de segurança cibernética única por: I – conglomerado prudencial; e II – sistema cooperativo de crédito. |
Como se pode ver, o Plano de Ação e Resposta cria um mecanismo de evolução orgânica do Controlador, bem como diminui gastos futuros em razão de incidentes de segurança. Inclusive, tem o condão de minimizar sanções administrativas, uma vez que a atuação e controle prévios serão levados em consideração no momento de a Autoridade Competente sancionar. Então, já pensou em elaborar um Plano de Ação para a sua empresa?
[1] Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
[2] 9 etapas de um plano de resposta a incidentes bem-sucedido | CIO. Disponível em: <https://cio.com.br/gestao/9-etapas-de-um-plano-de-resposta-a-incidentes-bem-sucedido/>. Acesso em: 29 mar. 2021.
[3] Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: I – a descrição da natureza dos dados pessoais afetados; II – as informações sobre os titulares envolvidos; III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV – os riscos relacionados ao incidente; V – os motivos da demora, no caso de a comunicação não ter sido imediata; e VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
[4] Entenda melhor o que é Abordagem Baseada em Risco – Editorial – IPLD – Instituto de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. Disponível em: <https://www.ipld.com.br/editorial/entenda-melhor-o-que-e-abordagem-baseada-em-risco#:~:text=Abordagem%20Baseada%20em%20Risco%20(ABR,diretamente%20proporcionais%20aos%20riscos%20avaliados.>. Acesso em: 22 mar. 2021.
[5] (General Data Protection Regulation (GDPR) – art. 34. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT>. Acesso em: 22 mar. 2021.)
