©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
Comunicação de Incidentes de segurança

Comunicação de Incidentes de segurança: importância e novas regulamentações

Equipe EcoTrust

10 min read
Comunicação de Incidentes de segurança: importância e novas regulamentações

Você investe em segurança cibernética? Está ciente das obrigações expostas na Lei Geral de Proteção de Dados (LGPD), inclusive no que diz respeito à comunicação de incidentes de segurança?

Se não, é importante entender os grandes riscos que seu negócio está correndo e dar os primeiros passos para evitar os incidentes o quanto antes.

Se sim, você já deve estar ciente da imprevisibilidade dos incidentes de segurança e suas consequências tanto para a empresa quanto para os titulares dos dados sob sua responsabilidade.

As atividades ligadas ao tratamento de dados pessoais têm por princípio uma natureza arriscada. Sendo assim, o investimento em segurança é fundamental.

Porém, mesmo com o investimento adequado, há chances de a empresa precisar, em algum momento, lidar com um incidente de segurança.

Essas situações são imprevisíveis e podem significar grandes danos para um negócio, independentemente de seu porte.

Caso se depare com um incidente cujas consequências representam riscos ou danos significativos para os titulares dos dados envolvidos, sua empresa precisará realizar a comunicação de incidentes de segurança.

Ou seja, a ANPD e os titulares dos dados precisarão ser notificados sobre a situação com o fornecimento das informações mais claras e detalhadas possíveis.

Nos próximos tópicos, vamos abordar as legislações e recomendações vigentes a respeito da comunicação de incidentes de segurança e também a nova proposta de regulamentação da ANPD.

Continue a leitura!

O enquadramento legislativo da comunicação de incidentes de segurança

Ainda que existam diversas razões para investir em segurança cibernética e realizar imediatamente a comunicação de incidentes de segurança, as diretrizes legais são um argumento irrefutável.

Vamos ver, em seguida, quais são os principais enquadramentos legislativos relacionados à notificação desses incidentes.

Artigo 48 da LGPD

Quando uma empresa detecta um incidente de segurança, entre as diversas ações a serem colocadas imediatamente em prática está a comunicação à Autoridade Nacional de Proteção de Dados (ANPD).

Esta diretriz é estabelecida no Artigo 48 da Lei Geral de Proteção de Dados, que regula as atividades relacionadas ao tratamento de dados pessoais.

O referido artigo também determina que, além da ANPD, a empresa comunique o incidente aos titulares dos dados envolvidos.

Essas obrigações referentes à comunicação de incidentes de segurança devem ser observadas sempre que a ocorrência do incidente puder acarretar risco ou dano relevante aos titulares.

Nesse sentido, é importante que os controladores sejam cautelosos e efetuem a comunicação de incidentes de segurança até mesmo quando houver dúvidas a respeito da relevância dos riscos e danos.

Isso porque, conforme a LGPD, uma subavaliação comprovada dos riscos e danos pode ser considerada um descumprimento da legislação.

Nesse caso, a empresa pode sofrer as sanções previstas na Lei simplesmente por subestimar um eventual risco.

Além do controlador dos dados, excepcionalmente a ANPD também pode receber a comunicação de incidentes de segurança por parte do operador.

Outra informação relevante a ser destacada diz respeito às recomendações relacionadas ao conteúdo da comunicação de incidentes de segurança.

O  formulário de comunicação de incidentes de segurança precisa ser preenchido com dados concisos e claros. Entre as informações essenciais estão:

  • A identificação e os dados de contato da entidade ou pessoa responsável pelo tratamento dos dados e do encarregado de dados;
  • A indicação se a notificação é parcial ou completa (se a comunicação for parcial, é preciso indicar que se trata de um documento preliminar ou complementar);
  • Data e hora da detecção do incidente;
  • Data e hora da ocorrência do incidente e sua duração;
  • As circunstâncias em que a violação ocorreu;
  • A descrição dos dados pessoais afetados, como sua natureza e seu conteúdo, categoria em que se enquadram e a quantidade de dados e de titulares afetados;
  • Um resumo do incidente com dados pessoais, indicação de localização física e meio de armazenamento;
  • As possíveis consequências ou efeitos negativos para os titulares dos dados afetados;
  • A lista de medidas de segurança, técnicas e administrativas preventivas que foram colocadas em prática pelo controlador;
  • As medidas colocadas em prática até o momento para controlar os danos;
  • Os possíveis problemas de natureza transfronteiriça;
  • Outras informações que possam ser úteis às pessoas afetadas para a proteção de dados e prevenção de danos.

Caso alguma dessas informações não esteja imediatamente disponível, a comunicação de incidentes de segurança não deve ser adiada.

A recomendação é que seja enviada à ANPD uma comunicação preliminar com o máximo de informações possíveis e que as informações adicionais sejam fornecidas posteriormente.

Nesse caso, a ANPD precisa ser informada a respeito da futura complementação das informações e também sobre os meios utilizados para apurá-las.

Cabe lembrar também que a ANPD pode solicitar informações adicionais a qualquer momento.

No que diz respeito aos prazos para a comunicação de incidentes de segurança, quanto mais rápida comunicação for realizada, maior transparência será demonstrada.

A LGPD afirma que a comunicação de incidentes de segurança precisa ser feita em um prazo razoável, que até o momento é associado ao intervalo de até dois dias úteis a partir do conhecimento do incidente.

Lembre-se de que uma comunicação imediata será associada à boa-fé da empresa no caso de uma eventual fiscalização.

Resolução 4.893 CMN 4.893/2021

A Resolução 4.893 do Conselho Monetário Nacional, publicada em 2021, tem como principal assunto as políticas de segurança cibernética.

Além disso, ela também engloba os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem que devem ser observados pelas instituições autorizadas a funcionar pelo Banco Central.

Como sabemos, os avanços tecnológicos representam, ao mesmo tempo, grandes vantagens e grandes riscos, sobretudo para organizações que fazem muitas movimentações financeiras.

Daí a importância da manutenção de uma política de segurança cibernética eficiente e atualizada estabelecida de acordo com as diretrizes ligadas à confidencialidade, integridade e disponibilidade dos dados e sistemas.

Sendo assim, a Resolução 4.893 define os requisitos para a criação das políticas de cibersegurança considerando as especificidades de cada segmento de negócios.

No que diz respeito especificamente à comunicação de incidentes de segurança, as empresas abrangidas pela resolução precisam criar iniciativas relacionadas ao compartilhamento de informações a respeito dos incidentes cibernéticos de relevância, mas sem que haja prejuízo do dever de sigilo e da livre concorrência.

Esse compartilhamento precisa incluir as informações sobre incidentes relacionadas também às empresas prestadoras de serviços a terceiros.

Além disso, os dados compartilhados precisam ser disponibilizados para o Banco Central (Bacen).

O Bacen tem autonomia para  vetar ou restringir a contratação de serviços de processamento e armazenamento de dados e computação em nuvem quando as regras expostas na resolução forem descumpridas.

Quando comparada à resolução 4.658 de 2018, os principais pontos de alteração da Resolução 4.893 estão ligados justamente ao gerenciamento de crise.

Assim, além do estabelecimento de critérios que configuram uma situação de crise, as instituições em questão precisam comunicar tempestivamente ao Bacen as situações que impliquem em incidentes ou interrupções.

Além disso, o Bacen também precisa ser informado a respeito das providências a serem tomadas para a retomada das atividades.

A documentação relacionada ao gerenciamento de crise precisa manter-se disponível para o Bacen pelo prazo de cinco anos.

Recomendações da ANPD

Além das diretrizes definidas em Lei, é importante que as empresas também mantenham-se atentas às recomendações da ANPD.

Assim, cabe destacar recomendações como a de comunicação imediata, já citada acima, a de coleta e documentação adequada das informações sobre o incidente e a da avaliação meticulosa dos riscos.

Destaca-se também a recomendação referente à necessidade de justificativa para possíveis atrasos na comunicação de incidentes de segurança.

Caso haja uma demora injustificada no envio do formulário de comunicação, a empresa poderá sofrer as sanções administrativas previstas na LGPD.

Nos casos em que não é possível reunir todas as informações relevantes imediatamente, a ANPD recomenda que as informações adicionais sejam enviadas no prazo máximo de 30 dias corridos.

Este intervalo deve ser contado a partir da data da comunicação preliminar, o que corresponde a uma diretriz importante para as empresas.

Outra recomendação relevante é a de que as obrigações referentes à comunicação de incidentes entre controladores e operadores sejam expostas em contrato, tornando o processo mais rápido.

Entre as recomendações mais recentes da ANPD também estão as orientações relacionadas à importância da comunicação de incidentes de segurança aos titulares dos dados.

Há inclusive a indicação de que a comunicação à ANPD não será considerada completa se a comunicação aos titulares ainda não tiver sido enviada.

Esta comunicação deve ser feita de forma individual por qualquer meio e, caso não seja possível identificar todos os titulares afetados, a empresa poderá notificar todos os titulares cujos dados se encontram em sua base de dados.

Outra eventual solução para o cumprimento das recomendações é a comunicação indireta por meio de publicações nos meios de comunicação de grande alcance.

A importância da eficácia na comunicação de incidentes de segurança

Uma das informações que podem parecer alarmantes entre as questões legais abordadas acima é a necessidade de proceder a comunicação de incidentes de segurança assim que a empresa toma ciência dos mesmos.

Isso porque pode realmente ser muito difícil reunir informações suficientes em um momento de crise para o qual a instituição pode não estar devidamente preparada.

Mas esta prontidão é importante por conta da rapidez com que os riscos e danos podem se tornar palpáveis e prejudicar os titulares dos dados e a própria empresa.

Sendo assim, é preciso contar com um bom plano de resposta a incidentes e manter a empresa preparada para obter e fornecer quaisquer informações que possam ser necessárias à ANPD.

Logicamente, a necessidade de cumprir a legislação e as recomendações da ANPD é indiscutível, mas, além disso, há que se considerar também os impactos sobre a imagem e a reputação da empresa.

Em determinadas situações, mesmo que a instituição conte com uma justificativa para o atraso na comunicação de incidentes de segurança, sua imagem pode ser associada à falta de transparência.

Portanto, a empresa pode perder até mesmo os clientes cujos dados não foram afetados pelo incidente e enfrentar grandes barreiras na conquista de novos clientes.

Isso não tem a ver apenas com a agilidade da comunicação de incidentes de segurança. É importante que essa comunicação, além de rápida, seja eficaz e eficiente.

Nova regulamentação proposta pela ANPD para a comunicação de incidentes de segurança

A ANPD promoveu durante todo o mês de maio de 2023 uma consulta pública relacionada à definição do Regulamento de Comunicação de Incidentes de Segurança de Dados Pessoais.

A necessidade desta regulamentação está ligada aos desdobramentos referentes ao artigo 48 da LGPD, abordado anteriormente.

A importância da iniciativa da consulta pública deixa clara a intenção de estabelecer um diálogo com a sociedade para que as regras sejam favoráveis à melhoria das reações aos incidentes.

Em breve, a entidade deve divulgar os resultados da consulta pública, mas a partir da minuta do Regulamento é possível detectar os principais pontos da nova regulamentação.

Falaremos em seguida sobre alguns deles.

Definição do prazo de três dias úteis para a comunicação de incidentes de segurança

Embora o prazo de dois dias úteis a partir da identificação do incidente fosse uma recomendação, ele era encarado como uma obrigação por parte das empresas.

Isso ocorreu com base em outros dispositivos legais e porque a regulamentação ainda não havia sido estabelecida.

Com a proposta de um Regulamento de Comunicação de Incidentes de Segurança de Dados Pessoais, o prazo é especificado em três dias úteis.

Além do prazo maior, essa definição garante segurança jurídica às empresas, já que define um critério mais preciso do que o previsto nas recomendações anteriores.

A minuta admite ressalvas neste prazo quando houver legislação específica, considerando que o prazo deve ser contado sempre a partir do conhecimento do incidente.

Outra exceção diz respeito ao caso das empresas de pequeno porte, que devem contar com o prazo de seis dias úteis.

Além disso, o prazo para o envio de informações complementares passa a ser de 20 dias úteis prorrogáveis por igual período desde que haja uma solicitação fundamentada.

Este prazo deve ser contado a partir da tomada de conhecimento do incidente e não a partir do momento do envio da comunicação preliminar.

Novos critérios para considerar um incidente como relevante

Outro avanço importante na nova proposta da ANPD é a definição de critérios mais específicos para a comunicação de incidentes de segurança.

Como sabemos, essa comunicação deve ser feita sempre que um incidente de segurança envolvendo dados pessoais representar riscos ou danos relevantes para os titulares desses dados.

Mas quando isso de fato acontece?

A proposta da ANPD esclarece que esses riscos ou danos ocorrem quando o incidente tem potencial para afetar significativamente os interesses e direitos fundamentais dos titulares.

Para tornar a avaliação mais precisa, a ANPD define que a comunicação deve ser realizada quando o incidente envolver ao menos um entre os seguintes critérios:

  • Dados sensíveis;
  • Dados de crianças, de adolescentes ou de idosos;
  • Dados financeiros;
  • Dados de autenticação em sistemas;
  • Dados em larga escala.

Além disso, o documento esclarece que são incidentes com potencial de afetar significativamente interesses e direitos fundamentais dos titulares aqueles capazes de:

  • Impedir ou limitar o exercício de direitos ou a utilização de um serviço;
  • Ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

Obrigações adicionais

Como é possível perceber, a proposta de regulamentação referente à comunicação de incidentes de segurança não altera significativamente as diretrizes anteriores, apenas as torna mais claras e precisas.

Contudo, existe na minuta a previsão de algumas obrigações adicionais, como o registro dos incidentes de segurança.

Segundo a nova proposta, o controlador deve manter um registro de incidentes de segurança com dados pessoais, incluindo os que não foram comunicados à ANPD e aos titulares dos dados, pelo prazo mínimo de cinco anos.

Esse prazo deve ser contado a partir da data de registro, exceto quando houver obrigações adicionais que necessitam de um prazo maior de manutenção.

As principais informações que devem estar contidas no registro de incidentes são as seguintes:

  • A data de conhecimento do incidente;
  • A descrição geral das circunstâncias em que o incidente ocorreu;
  • A natureza e a categoria de dados afetados;
  • O número de titulares afetados;
  • A avaliação do risco e os possíveis danos aos titulares;
  • As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
  • A forma e o conteúdo da comunicação, se o incidente foi comunicado à ANPD e aos titulares;
  • Os motivos da ausência de comunicação, quando for o caso.

Cabe destacar, por fim, que a própria minuta divulgada pela ANPD prevê a possibilidade de novas diretrizes e recomendações, conforme a necessidade.

Isso significa que não basta estabelecer uma adequação à legislação atual, já que os processos que envolvem a tecnologia são muito dinâmicos e os dispositivos legais devem acompanhá-los.

A atualização e a adaptação às novas regulamentações são fundamentais e devem ser promovidas periodicamente.

Para que seu negócio mantenha-se sempre em conformidade com as leis e regulamentos vigentes, é importante ter a própria tecnologia como aliada.

A EcoTrust é uma plataforma de inteligência em riscos cibernéticos que atua no pilar de prevenção de incidentes cibernéticos a empresas, através do gerenciamento contínuo de vulnerabilidades.

Por isso, ela ajuda as empresas a manterem-se em conformidade com as legislações e diretrizes referentes à proteção de dados e à cibersegurança.É claro que isso inclui a LGPD e seus desdobramentos e é por isso que você precisa agendar uma demonstração para verificar na prática todo o potencial da plataforma, ganhando agilidade e eficiência em diversas missões que englobam, inclusive, a comunicação de incidentes de segurança.

Inscreva-se para mais como este.

Enter your email
Subscribe