Habitualmente temos nos deparado com notícias sobre vazamento de dados pessoais envolvendo grandes organizações. Tais incidentes nos leva a concluir que qualquer empresa está suscetível a sofrer um ciberataque.
Diante desse cenário real, o que a empresa pode fazer para reagir a incidentes, mitigar danos e evitar as consequências previstas na Lei Geral de Proteção de Dados (LGPD)?
O primeiro passo é acionar o Plano de Resposta a Incidentes, que é basicamente um plano de ação que prepara a organização para um eventual incidente de segurança. Nele devem constar os seguintes pontos:
- A definição de incidente
Pode parecer um excesso de zelo, mas é importantíssimo que a organização entenda quando há de fato um incidente. O conceito claro de incidente evita que a empresa desperdice esforços, mas que também que dê a devida importância e seriedade à ocorrência.
- Detalhamento dos procedimentos a serem executados
Uma resposta a um incidente deve ser executada rapidamente. Para tanto, considerando o pouco espaço de tempo, é essencial que os procedimentos sejam claros e executados de forma ágil e eficaz.
- Recursos a serem utilizados
Como dito, a reposta ágil é um elemento essencial no combate e mitigação a incidentes. Não há tempo para se discutir os recursos a serem utilizados, tal como budget, ferramentas e tecnologias. Todos esses elementos já precisam estar definidos e aprovados no plano de ação.
- Designação de colaboradores e de suas responsabilidades
A organização deve designar todos os colaboradores que serão acionados em caso de um incidente, definindo, ainda, as ações e a responsabilidade de cada qual. A empresa deverá eleger um Comitê de Crise, do qual, obrigatoriamente, deve participar o Encarregado (DPO), além de membros departamentos estratégicos, tais como TI, Jurídico, Compliance, Comunicação, a depender do funcionamento de cada organização.
O Plano de Resposta a Incidentes, além de minimizar os impactos de um vazamento de dados, também é um importante recurso legal a ser utilizado junto à Agência Nacional de Proteção de Dados – ANPD na apuração de eventual sanção.
Nesse sentido traz o artigo 52, §1º, X, da LGPD:
“§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
[…]
X – a pronta adoção de medidas corretivas.”.
Como visto, um plano de ação rápido e eficiente se mostra uma medida decisiva na mitigação de danos decorrentes de um incidente com dados pessoais.
Porém, o Plano de Resposta a Incidentes consiste em apenas uma das diversas ações que compõem o processo de implementação da LGPD, legislação que atinge todas as empresas no Brasil, independentemente do porte ou seguimento.
E então, sua empresa está em compliance com a LGPD? Ainda não? Não se preocupe, ainda dá tempo! As penalidades da LGPD ainda não estão em vigor, mas passarão a valer a partir de agosto de 2021.
A segurança da informação não é um assunto que deve ser deixado para depois. Adotar medidas, boas práticas e adquirir ferramentas seguras é essencial para qualquer negócio.