Bom Dia LGPD

Comentários sobre o novo regulamento de comunicação de incidentes da ANPD

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd



"Não diga que a canção está perdida
Tenha fé em Deus, tenha fé na vida
Tente outra vez!"”
Tente Outra Vez, Raul Seixas



Ontem a ANPD publicou seu "REGULAMENTO DE COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA", ele deve ser incluído imediatamente na prática das equipes de conformidade com a LGPD.

Preparei alguns comentários sobre o documento:


  1. A interpretação do documento ratifica que os incidentes com dados pessoais são diferentes, e devem conviver de forma integrada, com os incidentes cibernéticos e de segurança da informação. É possível manter dois processos: Um para Gestão de Incidentes Cibernéticos e outro para Gestão de Incidentes com Dados Pessoais, e ambos funcionarem de forma autônoma e colaborativa em busca de seus objetivos, sem redundância;
  2. A LGPD é aberta ao utilizar o termo "incidente de segurança". Segurança de que? Da Informação? Cibernética? Organizacional? O documento vai além do mundo digital, por exemplo se um repositório de dados pessoais em papel pegar fogo, também deve ser tratado por meio deste regulamento;
  3. Sugiro sempre utilizar o termo incidente e não violação ou vazamento. No regulamento não há o termo vazamento, e o termo violação é utilizado em contexto diferente. O termo incidente dá a amplitude correta e é mais abrangente que vazamento e violação;
  4. É importante que as equipes estejam atentas aos objetivos presentes no artigo 2o. e ao glossário do artigo 3o.;
  5. O regulamento trata de "Comunicação de Incidente", mas para implementá-lo é necessário um ciclo de Gestão de Incidentes, a ISO 27035 é uma boa referência e mantém as fases de: Planejamento; Identificação / Detecção / Comunicação (aqui entra a aplicação do regulamento da ANPD); Avaliação de Decisão; Resposta; e Lições Aprendidas;
  6. Comunicar incidentes à autoridade não é novidade, reguladores como Banco Central, CVM, Anatel, Aneel, ANP, Anvisa e outros têm regulamentos sobre comunicação de incidentes há muito tempo;
  7. Assim que tomar conhecimento da ocorrência é necessário imediatamente identificar: 1. Trata-se de um incidentes com dados pessoais? e, logo após, 2. Este incidente "pode acarretar risco ou dano relevante aos titulares"?, e caso afirmativo, preparar as comunicações à ANPD e ao titular. Em caso de dúvida se o incidente trata dados pessoais ou se é de alto risco, por prudência, deve-se prosseguir como se a resposta fosse afirmativa;
  8. A organização deve implementar um método para identificar se o incidente de segurança "pode acarretar risco ou dano relevante aos titulares" e a partir daí tomar a decisão se faz ou não a comunicação, este processo decisório é um momento importante;
  9. O prazo de comunicação de incidentes à ANPD foi fixado em três dias úteis, esta comunicação "deverá ser realizada pelo controlador, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD". É importante que o encarregado providencie antecipadamente sua documentação e o cadastro no ambiente de comunicação, pois se começar a fazer isso quando ocorrer o incidente, não será possível cumprir o prazo;
  10. A comunicação à ANPD deve ser feita por um formulário disponibilizado pela ANPD;
  11. O texto da comunicação ao titular é sensível e deve ser revisado pelos canais de decisão da organização;
  12. Para a comunicação aos titulares também foi estabelecido o prazo de três dias. Neste caso a comunicação é mais sensível e deve envolver outros departamentos como a alta gestão, comunicação e relação com investidores (quando houver);
  13. O controlador deve manter registro do incidente mesmo que não tenha havido comunicação à ANPD e/ou ao titular, este registro deve ser guardado por 5 anos;
  14. O regulamento também define as atividades internas da ANPD, uma delas é a possível determinação da divulgação do incidente, hoje isso já ocorre por exemplo com a divulgação de vazamento de chaves Pix que é realizada proativamente pelo Banco Central;
  15. Ao final do ciclo, cada incidente trará aprendizados que são oportunidades de melhoria de processos.


Esta são observações iniciais sobre a publicação de ontem da ANPD, em breve voltaremos ao assunto.


Bom fim de semana,


Obrigado,


Aquele abraço,


FNery


Descrição da imagem no Microsoft Copilot: "Please create a corporate-style illustration suitable for a LinkedIn Pulse article, featuring a diverse group of people of different ages, body types, genders, and ethnicities. They should be depicted around a meeting table, actively engaged in problem-solving by consulting various panels, paper documents, and computers. The setting should convey a professional atmosphere with a focus on collaboration and technology."

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato