Quando ocorrer um incidente de segurança com os dados devo comunicar quem?

*Por Alex Amorim

Em um cenário de incidente cibernético com impacto nos dados pessoais, o controlador deve ou não reportar o fato para a Autoridade Nacional de Proteção de Dados?

Esse questionamento é pertinente principalmente quando olhamos para o ecossistema das empresas, que contam com diversos parceiros para operacionalizar o negócio. É comum que as operações das companhias brasileiras atuem de forma interligada. Normalmente, esses parceiros exercem um papel de OPERADOR, pois eles tratam os dados pessoais em nome do CONTROLADOR.

Diante da alta dos ataques cibernéticos, podemos perceber que os OPERADORES terceirizados podem sofrer um incidente de Segurança, afetando as operações dos CONTROLADORES. Um ataque de ransomware, por exemplo, pode impactar todo um ecossistema e canais de negócios da empresa que desempenha o papel de CONTROLADOR.

Esse cenário desperta a dúvida que destaquei no início deste artigo. Assim como o OPERADOR, o CONTROLADOR deve também reportar o incidente à ANPD? Para responder essa questão, é importante destacarmos aqui as responsabilidades e funções pautadas no texto da Lei Geral de Proteção de Dados.

O artigo 38 da LGPD diz que o OPERADOR deve realizar o tratamento dos dados de acordo com as instruções fornecidas pelo CONTROLADOR. Ou seja, os papéis devem ser claros em relação às ações e melhores práticas de proteção de dados pessoais.

Já o artigo 46 deixa muito claro que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Quando olhamos para esses artigos, fica claro que o papel principal do CONTROLADOR é deixar as instruções de Segurança bem estabelecidas para que o OPERADOR possa seguir de forma correta, além das medidas que devem ser adotadas em caso de incidente.

Outro ponto importante é o parágrafo único do artigo 44 da LGPD: Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Isso significa que o CONTROLADOR precisa deixar muito claro qual o nível de Segurança que o OPERADOR precisa seguir, caso contrário, o OPERADOR será responsabilizado pelo incidente.

Voltando à questão inicial, sim, o CONTROLADOR deverá comunicar à Autoridade e ao titular do dado em caso de incidente cibernético que cause danos relevantes. Mesmo um incidente acontecendo no OPERADOR, uma empresa de call center por exemplo, o CONTROLADOR deve comunicar o fato à ANPD com base no artigo 48. E essa comunicação precisa acontecer rapidamente, baseada nas informações que o CONTROLADOR tem em mãos.

Com base nesses pontos, é importante deixar claro que mesmo que um incidente não aconteça diretamente na minha empresa, se eu tenho tudo mapeado e as operações de tratamento estão bem estabelecidas junto ao meu parceiro, que exerce esse papel de OPERADOR e trata os dados pessoais dos meus clientes, eu, como CONTROLADOR, tenho a obrigatoriedade de comunicar à Autoridade o incidente ocorrido, que afetou minha base de clientes.

*Alex Amorim é CISO | DPO e Presidente do IBRASPD

Comunicar publicamente a ocorrência de um ataque cibernético sempre foi encarado como ação delicada pelas corporações, algo que poderia causar danos à imagem da empresa pela exposição negativa que poderia causar. Mas essa prática, aos poucos, passa por uma revisão, acompanhando as mudanças no contexto atual.

Com o crescimento do número de incidentes, toda empresa está sujeita a virar um alvo, e, assim, uma ocorrência não é necessariamente um indicativo de negligência. Além disso, as corporações têm ampliado a conscientização sobre a importância da segurança dos dados pessoais, impulsionada pela entrada em vigor da Lei Geral de Proteção de Dados Pessoais, a LGPD (leia mais sobre os impactos da LGPD na cibersegurança).

Nesse novo cenário, as empresas passam a rever a postura padrão anterior de esconder ou negar a ocorrência de um ataque. Começam também a compreender a necessidade de analisar cada caso para estabelecer critérios sobre quando e como fazer a comunicação pública de um ataque, além de filtrar que tipo de incidente deve ou não ser publicizado.

Regramento

A LGPD, em seu artigo 48, veio como grande balizadora dessa comunicação, mas ela não é a única norma que trata do tema. “Há obrigações legais que se entrelaçam, apesar da LGPD ser a mãe de todas nesse momento”, afirma o advogado Renato Opice Blum, especialista em Direito Digital. Ainda assim, a Lei traz muitas recomendações e sugestões, sujeitas à interpretação, mas uma normativa com o detalhamento do que deve ser comunicado, incluindo prazos claros, ainda está em construção.

Enquanto isso, o advogado recomenda levar em conta o objetivo principal dessa comunicação, que deve ser o norteador para o critério de escolha se a comunicação deve ou não ser feita, e quão rapidamente: impedir um dano maior decorrente do vazamento de dados obtidos em um ataque. “Tudo o que puser ser feito para minimizar isso, deve ser feito, para diminuir as sanções da LGPD e demonstrar a proatividade. A própria jurisprudência interpreta isso como sendo atos de boa-fé e isso atenua a responsabilidade. Não afasta, mas atenua”, pondera Blum.

Portanto, o primeiro passo é consultar a equipe técnica, que vai trazer os insumos para essa avaliação de danos e de riscos aos dados que vêm com o incidente. Aqui, Blum recomenda adotar como referência os materiais da Agência Espanhola de Proteção de Dados (AEPD), que publicou guias para essa análise de risco. E, mesmo em caso de dúvidas, fazer a comunicação à Autoridade Nacional de Proteção de Dados (ANPD), que pode orientar sobre os passos seguintes e possíveis comunicações com outros órgãos e agências envolvidos, de acordo com o setor, ou até mesmo envolver a Polícia Federal em uma investigação, quando for de sua competência.

“Primeiro é preciso avaliar: esse ataque, com esses dados que foram vazados, geram um risco relevante para os direitos e liberdades do titular? Se a resposta for sim, tem que fazer uma notificação para a ANPD que, por sua vez, pode entender que é necessário comunicar todos os titulares que tiveram seus dados vazados”, resume Vanessa Fonseca, diretora da área de Security Consulting da Accenture.

Avaliação do cenário

Mas, para além dos dados, é preciso avaliar os riscos para as ações, em caso de companhia aberta, e para a marca, por exemplo. Por isso, esse é um trabalho multidisciplinar. É importante reunir as equipes jurídica, de tecnologia da informação, de marketing, recursos humanos, além da alta gestão e eventuais consultorias, para avaliar os riscos e a necessidade de comunicação do incidente. Vale lembrar que essa é só uma das diversas medidas que uma empresa precisa tomar quando um incidente é detectado. Assim, os critérios sobre a comunicação do incidente e todas as equipes envolvidas já devem fazer parte do plano de resposta a incidentes da organização.

Isso porque a avaliação de risco pode ser sujeita a muitas variáveis. Vanessa dá um exemplo: “o risco de um dado de saúde vazado é muito diferente de uma empresa que tenha, por exemplo, apenas o nome vazado. Mas mesmo esse pode ser um risco relevante se, imagine, uma montadora automotiva tem sua base vazada e lá está que determinada pessoa comprou um carro de luxo. Aparentemente, esse não é um risco relevante. Mas pode ser que essa informação afete uma negociação que essa pessoa não quer divulgada. É muito subjetivo. Então, antes de qualquer incidente ocorrer, a empresa tem que ter um planejamento.”

Ter esse planejamento prévio contribui, inclusive, para trazer calma a um processo que é cheio de tensão. É preciso ter em mente que, mesmo quando a decisão for por comunicar, é preciso não se precipitar. “Você tem que comunicar com consistência e com certeza, senão você pode não só gerar uma interpretação equivocada por parte das autoridades, mas também pode dificultar uma explicação ou uma correção da informação que foi abruptamente enviada a uma autoridade. Então tem que ser com muito pé no chão, muita responsabilidade, muita frieza, muita calma e com um mapa, com um cenário correto”, orienta Blum.

Por outro lado, quando dados são vazados, essa é uma informação que se torna pública muito rapidamente. “Seja porque o atacante quer publicidade para o ataque e divulga, ou joga na deep web uma amostra para vendê-los, seja porque clientes da empresa tentam acessar o site e não conseguem e já começa todo um ruído no mercado”, diz Vanessa. Mesmo nesses casos, os especialistas recomendam fazer uma comunicação cuidadosa, informando que o fato está sendo investigado, mas só dar os detalhes quando houver certeza sobre eles.

Uma boa prática, ainda que custosa, para o bom relacionamento com os clientes e para a preservação da marca é criar um canal de comunicação específico, além do uso das redes sociais. “É algo muito bem recebido pelo mercado a empresa ter proatividade. Você diminui o ruído e mostra para o mercado que nenhuma empresa está blindada. A empresa também é vítima”, diz Vanessa. “Você pode passar por um incidente e sair fortalecido.”

Guias e materiais de referência

Busca pela conformidade

Para manter a conformidade com os regulamentos de privacidade em evolução em todo o mundo, as empresas precisam investir em recursos e orientação. Neste e-book da Microsoft, são colocadas soluções para alguns desafios dessa jornada, como: quais dados merecem atenção inicial, estratégias para obter visibilidade e controle das informações armazenadas na nuvem, além de como informar sobre os novos padrões de segurança adotados. O e-book inclui ainda um resumo de produtos da Microsoft que podem ajudar as empresas nos esforços rumo à conformidade.

Quando ocorrer um incidente segurança com dados pessoais devo comunicar?

Quem o controlador deve informar em caso de ocorrência de incidente?

O que deve ser feito em caso de incidente de dados?

O que devo fazer caso ocorra um incidente de segurança da informação na sua empresa?