Bom Dia LGPD

Gestão de Incidentes Cibernéticos e com Dados Pessoais - Juntos ou Separados?

Fernando Nery
Fernando Nery
Sócio da Módulo

A partir da publicação em abril deste ano do "Regulamento de Comunicação de Incidente de Segurança (RCIS)" ficou regulamentada a maneira de tratar os "Comunicação de Incidente de Segurança, que possa acarretar risco ou dano relevante aos titulares", é importante que as organizações preparem fluxos de tratamento deste tipo de incidentes que guardam uma boa diferença com os incidentes cibernéticos.


É importante esta atentos a algumas questões:


  • A LGPD e o Regulamento falam sobre "comunicação de incidentes" e "resposta a incidentes", mas para atendê-los é necessário implementar um fluxo de "gestão de incidentes";
  • A ISO 27035 e o Itil são ótimos para gerenciar incidentes, mas precisam de ajustes para atender a LGPD. Por mais que você tenha estudado sobre o tema, o regulamento traz aspectos bem específicos, não tente "adivinhar os passos";
  • Um incidente não nasce pronto, para atender à LGPD você precisa de um canal para receber as notificações e definir: 1. Se é um incidente que possa acarretar risco aos titulares, e caso sim 2. Avaliar se o risco é relevante. O Regulamento apresenta uma equação para avaliar se o risco é relevante ou não. Caso o risco seja relevante, é necessário comunicar à ANPD, caso não, o registro precisa ficar guardado por cinco anos (atenção);
  • Para comunicar o incidente foi definido o prazo de 3 dias úteis, por meio de um formulário específico (que não é simples), com a nomeação do encarregado ou da pessoa que fará a comunicação, e encaminhamento pelo SUPER.BR, cujo cadastro não é imediato e pode cair em exigência;
  • Comunicar incidente ao regulador não é novidade, autoridades como Banco Central, CVM, ANP, Anatel, ANEEL, ONS, IBAMA e ANM por exemplo, possuem normas similares de comunicação de incidentes em seus segmentos há muitos anos;
  • Entendo que a maior parte dos incidentes cibernéticos envolvem dados pessoais, o alinhamento é esencial;
  • Vale à pena investir para implementar um bom fluxo para a gestão de incidentes, inclusive decidir será realizado de forma conjunta ou separada da segurança cibernética, de qualquer maneira, caso seja separado, há necessidade de troca de informação entre as duas iniciativas (o projeto de lei de regulamentação da inteligência artificial prevê a comunicação de "incidentes graves".

Boa semana,


Obrigado,


Aquele abraço,


FNery.


_______________________________________________________________________________________________________________________


Como podemos ajudar:


  • Gestão da Continuidade do Negócio;
  • Gestão de Riscos em Segurança da Informação e Cibernética;
  • Programa de Governança em Privacidade;
  • Gestão de Incidentes.
(Art 48) Gestão de Incidentes e Monitoramento
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato