No setor empresarial, tem-se observado um aumento significativo no emprego da tecnologia nos processos, produtos e serviços que o compõem. Essa transição das atividades das organizações para o ambiente digital tem trazido diversos benefícios, como a facilidade na integração de diferentes áreas, a otimização do tempo e espaço para a execução de tarefas e a promoção da agilidade e eficiência nas relações entre a empresa e os consumidores, bem como entre a empresa e seus fornecedores.
A transferência de inúmeras atividades para o meio digital resultou em um expressivo aumento do tráfego de dados online, tornando-o um ambiente propício para a ação de agentes maliciosos. A exploração indevida desses dados pode gerar consequências danosas e duradouras, a exemplo de prejuízos financeiros, comprometimento de sistemas e danos à imagem institucional.
Conceito
A Autoridade Nacional de Proteção de Dados (ANPD) define, por meio da Resolução CD/ANPD n° 15/2024, um incidente de segurança como qualquer evento adverso confirmado que envolva a violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais.
Logo, o conceito abrange uma falha do equipamento, acesso a dados pessoais por pessoa não autorizada, eliminação de dados pessoais feita de forma ilegal e até mesmo o roubo, furto ou perda de equipamento que contém dado pessoal.
Existem diversos tipos de incidentes de segurança, com o vazamento de dados pessoais sendo o mais comum, geralmente causado por senhas fracas, falta de medidas técnicas e treinamento inadequado. Esses incidentes frequentemente resultam de ataques cibercriminosos e podem ser classificados em três tipos principais:
- Incidente de confidencialidade: Divulgação ou acesso não autorizado aos dados pessoais.
- Incidente de integridade: Modificação não autorizada dos dados pessoais.
- Incidente de disponibilidade: Perda de acesso ou eliminação dos dados pessoais.
O vazamento de dados ocorre na maior parte das vezes como decorrência de um ataque cibercriminoso, sendo os tipos mais comuns apresentados a seguir.
- Phishing
Nesta técnica, o invasor envia e-mails ou mensagens via WhatsApp/SMS para enganar os usuários e obter informações confidenciais. O destinatário é induzido a clicar em um link, acreditando que ganhará uma promoção ou brinde, mas, ao fornecer as informações, descobre que foi vítima de um golpe.
- Malware
Também chamado de software malicioso, é uma forma genérica de se referir a qualquer tipo de software criado intencionalmente para causar danos que podem espionar uso de sistemas, captar e enviar dados para servidores externos.
- Ransomware
O Ransomware é um tipo de malware que bloqueia o acesso aos arquivos ou ao dispositivo inteiro, impedindo seu uso adequado. Cibercriminosos usam essa técnica para extorquir vítimas, exigindo pagamento para liberar o acesso, sem garantia de que os dados não serão vendidos ou usados indevidamente mesmo após o pagamento.
- DdoS
Em português, ataque de negação de serviço distribuído consiste em sobrecarregar as atividades de um servidor, negar o acesso de usuários legítimos e derrubar conexões entre equipamentos, entre outras ações similares.
Apesar de mencionados os principais tipos de ataques, os cibercriminosos se especializam e inovam constantemente nos formas de cometer ciberataques. Sendo fundamental que as empresas estejam sempre atualizadas quanto aos riscos que estejam expostas, consequências de um incidente de segurança e os métodos para mitigação possíveis de serem executados.
Planos de resposta a incidentes
A Lei Geral de Proteção de Dados é responsável por definir as diretrizes de segurança e administrativas que os responsáveis pelo tratamento de dados devem seguir para garantir a proteção dos dados pessoais e seus respectivos titulares contra qualquer tipo de atividade ilegal.
Um plano de resposta a incidentes é um conjunto estruturado de procedimentos e diretrizes que uma organização segue ao enfrentar incidentes de segurança. O objetivo principal desse plano é identificar, gerenciar e minimizar o impacto dos incidentes, restaurando as operações normais o mais rápido possível.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União, em 26 de maio de 2024, a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança. Entre os principais aspectos estabelecidos pela regulamentação, destacam-se os seguintes:
Registro do incidente
Uma vez identificado um incidente de segurança ou havendo suspeita da sua ocorrência, o Encarregado de Proteção de Dados Pessoais deve ser notificado para que o evento seja devidamente investigado. É necessário manter um registro detalhado do incidente de segurança, incluindo as causas, os dados afetados, a categoria dos titulares e as medidas de segurança implementadas para conter o incidente e mitigar os riscos e danos.
Comunicação do incidente à ANPD e aos titulares
Em regra, o incidente de segurança que possa acarretar risco ou dano relevante aos titulares deve ser comunicado à ANPD e aos próprios titulares afetados no prazo de 3 (três) dias úteis, contados a partir do conhecimento do incidente pelo controlador.
A comunicação do incidente à ANPD deverá ser realizada pelo controlador, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação. Em caráter excepcional, caso o controlador não tenha as informações completas a respeito do incidente ou não conseguir notificar os titulares no prazo recomendada, pode ser apresentada comunicação complementar no prazo de 20 dias úteis.
Ao avaliar a gravidade do incidente, a Autoridade levará em consideração as práticas adotadas pelo agente de tratamento para mitigar os riscos e minimizar os efeitos dos danos ocorridos. Caso entenda necessário, a ANPD tem poderes para determinar a abertura de processo administrativo sancionador para apurar violação à LGPD, que poderá culminar em aplicação das sanções de advertência, publicização da infração, suspensão do exercício da atividade de tratamento dos dados pessoais, podendo chegar a multas 50 milhões de reais por infração.
Além disso, o controlador deverá informar os titulares de dados sobre incidentes de forma clara, acessível e individual, utilizando meios usuais de contato, como telefone, e-mail ou carta. A comunicação deverá incluir:
- Descrição da natureza e categoria dos dados afetados;
- Medidas de segurança adotadas, riscos e possíveis impactos;
- Motivos de atraso na comunicação (se aplicável);
- Medidas para mitigar os efeitos do incidente;
- Data do conhecimento do incidente e um contato para mais informações
Na impossibilidade de contato individual com os titulares, a divulgação da informação deverá ser realizada por meio de canais públicos, como o site institucional do controlador, por um período não inferior a três meses. O controlador deverá manter registro detalhado dessa comunicação, incluindo os meios empregados.
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.
Saiba mais em ANPD divulga nova lista de processos sancionatórios em andamento
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. |