Bom Dia LGPD

Incidente não nasce pronto

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd



"Você me faz correr demais
Os riscos desta highway”
Infinita Highway, Engenheiros do Hawaii


Semana passada a ANPD divulgou um de seus documentos mais importantes até hoje, a "RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024" que "Aprova o Regulamento de Comunicação de Incidente de Segurança".


Entendo que a maior parte das empresas já conviveram de alguma maneira com incidentes que envolveram dados pessoais, a novidade é que hoje eles precisam ser comunicados à ANPD caso tragam riscos relevantes aos titulares.


Este regulamento refere-se ao atendimento ao artigo 48 da LGPD, que em seu artigo 50 também define que o Programa de Governança em Privacidade deve contar com "planos de resposta a incidentes e remediação".



Comunicação, resposta e remediação são partes de um processo de gestão de incidentes.



A maior parte dos incidentes que você escuta são maduros, já foram materializados e chegam com bastante informações. Por outro lado, os incidentes que você for tratar são inéditos, têm poucas informações e precisam ser avaliados por você.


A ISO 27035 - Gestão de Incidentes de Segurança da Informação define as seguintes fases do ciclo de incidentes:


  • Planejar e Preparar;
  • Detectar e Comunicar;
  • Avaliar e Decidir;
  • Responder;
  • Lições aprendidas.


Em termos de atendimento à LGPD, uma sugestão de fases que podem ser associadas à ISO 27035 é:


  • Receber a notificação da ocorrência;
  • Avaliar se envolve dados pessoais;
  • Avaliar se é um incidente;
  • Avaliar se o incidente pode "acarretar risco ou dano relevante aos titulares";
  • Comunicar o incidente à ANPD.


Ao receber a notificação, o caso pode ser ou não um incidente, por exemplo, quando alguém liga para o 190, o atendente só consegue saber se é um incidente ou não, após entender o mínimo no primeiro contato para encaminhar o caso corretamente.


Mesmo que o incidente não acarrete "risco ou dano relevante aos titulares", seu registro deve ser guardado por 5 anos conforme o artigo 10 do regulamento: "O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos".


Após receber a notificação da ocorrência, a avaliação deve ser feita de forma ágil pois o prazo de três dias úteis pode ser pouco, uma vez que o formulário de comunicação não é simples e os incidentes são situações inesperadas e com informações novas cuja interpretação e decisão podem depender de outras pessoas dentro da organização e da consulta a outras regulamentações. É importante adotar uma metodologia para cumprir o ciclo do incidente.


Bom fim de semana,


Obrigado,


Aquele abraço,


FNery


Descrição da imagem no Microsoft Copilot: "Create a Pixar-style illustration sized 1920 x 1080 pixels depicting a diverse group of people in a meeting room, watching with attention, tension, and astonishment as a line graph dramatically rises on a large wall screen. The characters should have expressive faces that convey their intense reactions to the graph's unexpected growth, and the office environment should be detailed and vibrant, enhancing the dramatic atmosphere of the scene."

(Art 48) Gestão de Incidentes e Monitoramento
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato