Minha empresa teve dados vazados, e agora?

De início, cumpre esclarecer que, após a confirmação, conforme o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Em tese, se não envolve risco ou dano relevante aos titulares, a comunicação não seria necessária. Recomenda-se que esta avaliação seja feita por consultoria e perícia forense digital independente em conjunto com o time interno, capaz de compreender a dimensão do ataque, vulnerabilidade explorada, medidas preventivas ou reativas acionadas e, então, ponderar pelo risco ou não aos titulares. Por sua vez, caso o ataque ou vazamento de dados proporcione risco ou dano relevante, a comunicação à ANPD e aos titulares de dados ou clientes deverá conter, no mínimo, o que se vê no quadro:

Boas práticas para resposta a incidentes

Mantenha um processo/plano claro para lidar com incidentes, considerando a LGPD e regulamentos de privacidade em vigor, definindo papéis e responsabilidades dos atores envolvidos; certifique-se que os agentes de tratamento assinaram cláusulas contratuais específicas, se comprometendo com a segurança dos dados e a colaboração quando da ocorrência de incidentes; realize a simulação de incidentes de segurança ao menos uma vez ao ano, para verificar a maturidade do processo, a velocidade da resposta, gestores envolvidos, preservação das evidências e se demais tarefas são corretamente executadas - com o teste do seu plano de resposta a incidentes será possível otimizar a capacidade de conter, mitigar e restabelecer os sistemas de forma ágil e eficaz; invista em programas de governança, gerenciamento de riscos e conformidade; incentive terceiros, colaboradores e usuários a notificarem qualquer suspeita pelos canais apropriados; divulgue, ostensivamente, os canais apropriados.

O que deve conter em um processo de resposta a incidentes de segurança da informação?

Um processo de resposta a incidentes de segurança da informação visa documentar os passos a serem seguidos quando do incidente e precisa conter, no mínimo: a equipe de resposta a incidentes; quem será a primeira pessoa a ser comunicada quando do incidente de segurança; procedimentos a serem adotados antes, durante e após o incidente de segurança; medidas adotadas pelo DPO para comunicar os titulares e a ANPD, além dos requisitos da comunicação; elaboração de relatórios e documentos que demonstrem a adoção de medidas para reduzir os danos do incidente de segurança e, se houver, o que foi feito.

Conclusões

Não negligencie. Todas as empresas estão sujeitas a ataques e incidentes que exponham dados pessoais. Por isso, um Sistema de Gestão da Privacidade da Informação implantado e mantido atualizado e efetivo pode cooperar para que a empresa reduza ou mitigue os riscos de eventual incidente de segurança, adotando controles e medidas técnicas e administrativas, preventivas e reativas, nos termos da LGPD.