EDPB divulga consulta pública para guidelines sobre notificações de incidentes de segurança

Report Exclusivo_20_01_21_linkedin cópia 3

O GDPR exige que incidentes de segurança envolvendo dados pessoais, dependendo da sua gravidade, sejam notificados para a Autoridade do país correspondente e, nos casos mais graves, também para os titulares dos dados prejudicados. Previsão semelhante há na nossa LGPD, que obriga a notificação para a ANPD (Autoridade Nacional de Proteção de Dados) e para os titulares dos dados afetados quando houver risco ou dano relevante para seus direitos.

Consulta pública recente do EDPB (European Data Protection Board) traz exemplos de casos de notificações, sob a perspectiva do GDPR, a partir da análise de incidentes submetidos às Autoridades dos países da União Europeia. O objetivo é auxiliar os agentes de tratamento na decisão de como lidar com incidentes de segurança envolvendo dados pessoais, com destaque para os fatores que devem ser considerados na avaliação do risco para os titulares dos dados.

Ao identificar um incidente, conforme o documento, o agente de tratamento tem três ações possíveis, que devem, dependendo da gravidade, ser adotadas em conjunto: documentação interna; notificação à Autoridade de proteção de dados local; e notificação aos titulares de dados pessoais.

Os incidentes, ainda segundo a consulta pública em referência, são divididos em três categorias:

1) Violação de confidencialidade
Divulgação não autorizada ou acidental de dados pessoais ou ainda acesso não autorizado a eles.

2) Violação de integridade
Alteração não autorizada ou acidental de dados pessoais.

3) Violação de disponibilidade
Perda ou destruição de dados pessoais, sem autorização ou de forma acidental.

Qualquer dessas violações pode resultar em efeitos adversos significativos sobre os titulares dos dados, como danos físicos, materiais e imateriais. De acordo com o GDPR, há possibilidade de perda sobre o controle dos dados, limitação de direitos, discriminação, roubo de identidade ou fraude, perda financeira, danos à reputação e perda de confidencialidade de dados pessoais protegidos pelo sigilo profissional. Sem contar fatores econômicos e desvantagem social para os titulares dos dados.

Por isso, ainda de acordo com o GDPR, uma das obrigações mais importantes dos agentes de tratamento, como o controlador, é avaliar esses riscos e implementar medidas técnicas e organizacionais para evitá-los.

Como regra geral, o incidente de segurança deve ser notificado quando o controlador considerar que é provável que resulte em afronta aos direitos e liberdades do titular dos dados pessoais. Essa avaliação deve ser feita já no momento em que toma ciência da violação. Ou seja, o controlador não deve esperar por um exame forense detalhado antes de avaliar se a violação deve ser notificada para a respectiva Autoridade nacional.

Ataque ransomware
Causa frequente de incidente de segurança é o ataque do tipo ransomware. Um código malicioso criptografa os dados pessoais, impedindo o acesso por parte da vítima, para que, na sequência, o criminoso exija resgate em troca do código de descriptografia. Esse tipo de ataque é muitas vezes classificado como violação de disponibilidade, mas pode ser enquadrado como violação de confidencialidade.

No documento do EDPB, diversas situações de ransomware são apresentadas, com formas de proteção e de reação. A probabilidade de sucesso do ransomware é reduzida com a melhoria da segurança do ambiente de controle dos dados. Esse tipo de incidente de segurança pode ser mitigado com a adoção de um sistema rígido de detecção de malware, por exemplo.

Risco humano
O erro humano aparece com frequência nos incidentes de segurança.

Esse tipo de incidente pode ser intencional ou não intencional, motivo pelo qual é muito difícil para os controladores identificarem as vulnerabilidades, a fim de adotar medidas para evitá-las. A Conferência Internacional de Comissários de Proteção de Dados e Privacidade reconheceu a importância de abordar tais fatores humanos e adotou uma resolução para endereçar o papel do erro humano nas violações de dados pessoais.

Como medida recomendada para as empresas pelo relatório do EDPB, a implementação para funcionários de programas de treinamento, educação e conscientização sobre privacidade e segurança, bem como detecção e comunicação de ameaças à segurança de dados pessoais. Destaque, ainda, para a definição de práticas e procedimentos robustos e eficazes para proteger os dados e a privacidade.

Dispositivos ou documentos de papel perdidos ou roubados
A perda ou roubo de dispositivos portáteis é causa comum de incidente de segurança. O controlador deve considerar as circunstâncias do tratamento, como o tipo de dado armazenado, bem como as medidas tomadas antes da violação. Como o dispositivo não está mais disponível, a avaliação de risco sobre os direitos do titular fica comprometida.

Esse tipo de incidente de segurança costuma ser classificado como violação de confidencialidade. No entanto, se não houver backup do banco de dados roubado ou perdido, então a violação também pode ser de disponibilidade e de integridade.

Para mitigar esse problema, a orientação é adotar a autenticação multifatorial, assim como senhas suficientemente fortes, em todos os dispositivos. A utilização da tecnologia de nuvem é recomendada, já que os dados não ficam na memória dos dispositivos, mas em local externo, muito mais seguro, e que pode ser acessado em qualquer lugar.

Erro no envio postal ou por e-mail
É o envio por engano dos dados pessoais para destinatário errado. Ocorre por causa de erro humano – em função da desatenção. Quase nada pode ser feito pelo controlador depois de ocorrido – por isso, a prevenção é muito importante. Cabe aqui um exemplo:

“Dois pedidos diferentes de calçados foram embalados por uma empresa de varejo. Por causa de erro humano, as embalagens foram trocadas no momento da postagem pelos Correios. Como resultado, o consumidor recebeu o produto do outro, assim como teve acesso aos dados pessoais. Depois de tomar conhecimento da violação, o controlador de dados recuperou os pedidos, enviando-os para os destinatários corretos.”

Ainda assim, apesar do reenvio, a violação de confidencialidade se consumou. Para evitar esse incidente de segurança, o EDPB recomenda a adoção de um padrão de envio, sem espaço para interpretação, privilegiando a exatidão dos dados, como endereço de entrega. Isso só pode ser alcançado se houver o treinamento dos colaboradores sobre como enviar cartas e e-mails, respeitando as regras de proteção de dados.

Para mais informações, nossa equipe de Proteção de Dados permanece à disposição.

Acesse aqui as guidelines na íntegra. 

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp