A comunicação de incidentes de segurança com dados pessoais
A Autoridade Nacional de Proteção de Dados – ANPD publicou orientações sobre a avaliação e de incidentes de segurança com dados pessoais e a sua comunicação para própria autoridade e para os titulares vide artigo.
Para que seja possível comunicar um incidente de segurança com dados pessoais, faz-se necessário que a organização tenha uma gestão dos incidentes de segurança, caso contrário, não conseguirá identificar se o incidente de segurança envolve ou não dados pessoais.
E como ter uma gestão dos incidentes de segurança?
A ISO 27.002, no seu item 16, determina como deve ser realizada a gestão dos incidentes de segurança, estabelecendo itens de controle e diretrizes para implementação, tais como:
a) estabelecer responsáveis e preparar os funcionários na detecção de deficiências na segurança da informação;
b) estabelecer métodos para relatar os incidentes;
c) orientar funcionários para notificarem fragilidades da segurança da informação;
d) avaliar os incidentes de segurança da informação;
e) os incidentes de segurança sejam reportados e documentados;
f) utilizar os incidentes para melhorias futuras;
g) coletar evidências.
Com uma gestão eficiente dos incidentes de segurança será possível avaliar e identificar os incidentes de segurança que envolvam dados pessoais e comunicar a ANPD e os titulares, se for o caso.
A própria ANPD dispõe que “um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais.”
Primeiro ponto de atenção: “confirmado ou sob suspeita”. A mera suspeita da violação de dados pessoais deve ser comunicada, o que afasta a necessidade da efetiva confirmação da violação de dados pessoais.
A ANPD orienta ainda que: “Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.” E mais, diz que a “eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.”
Segundo ponto de atenção: “na dúvida” e “subavaliação”. Se houver dúvida que há riscos para os titulares, deve-se comunicar a ANPD, sabendo-se que se houver subavaliação será considerado descumprimento da legislação de proteção de dados.
No que se refere a comunicação para os titulares (pessoa natural a quem se referem os dados pessoais que são objeto de tratamento) a ANPD recomenda: “Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.”
Terceiro ponto de atenção: “possa acarretar”. Não é necessário um dano, a mera possibilidade de um risco ou dano relevante deve ser comunicado ao titular.
A ANPD apresenta um formulário para ser preenchido, para que seja realizada a comunicação. Orienta ainda, que a comunicação seja realizada no prazo de 2 (dois) dias.
Diante deste cenário, torna-se imprescindível a implementação da gestão dos incidentes de segurança, nos termos do item 16, da ISO 27.002, para que seja possível identificar e avaliar os incidentes de segurança, que envolvam dados pessoais, confirmados ou sob suspeita, que possam acarretar risco ou dano relevante ao titular de dado, comunicando-se mesmo na dúvida e no prazo de 2 (dois) dias.
< Ver todos os artigos