Plano de resposta a incidentes de segurança de dados pessoais: uma prevenção importante

A experiência prática mostra que medidas de cautela e antecipação reduzem não só a possibilidade de incidente, como também minimizam de forma substancial os prejuízos 

por Renato Opice Blum*


Na definição do art. 46 da LGPD (Lei Geral de Proteção de Dados ou Lei nº 13.709/2018), incidente de segurança de dados pessoais pode ser compreendido como quaisquer acessos não autorizados a tais informações, situações acidentais ou ilícitas que resultem na destruição, perda, alteração, comunicação dessas, ou, ainda, qualquer forma de tratamento desses mesmos dados de forma inadequada ou ilícita. 

Em suma, pensando nos três principais pilares que orientam a segurança da informação (confidencialidade, disponibilidade e integridade), um incidente de segurança em dados pessoais seria, em linhas gerais, qualquer episódio que coloque os dados pessoais em risco de confidencialidade, disponibilidade e integridade. Quer dizer, os episódios que violam o sigilo da informação, retiram o acesso a ela ou que a alteram ou destroem.            

Em matéria de proteção à privacidade e conformidade jurídica das empresas, talvez seja a situação que tem causado mais temor, apreensão e prejuízos. Somam-se, de uma hora para outra, 1) riscos jurídicos, 2) riscos reputacionais e 3) prejuízos operacionais. 

1) Riscos jurídicos associados à multiplicação de ações dos titulares dos dados pessoais eventualmente expostos –quem é identificado ou identificável por meio dos dados; a procedimentos de investigação e sanção por parte das autoridades constituídas– destacadamente a Secretaria Nacional do Consumidor (Senacon) e o Ministério Público; à existência de ações coletivas; e à violação de cláusulas contratuais com parceiros comerciais.

2) Riscos reputacionais em razão da exposição e de possíveis questionamentos sobre os procedimentos de segurança da empresa.

3) Prejuízos operacionais, por sua vez, dos mais diversos, desde danos decorrentes da perda de ativos até perdas comerciais sensíveis em situações extremas de interrupção das operações. 

Atuar preventivamente, portanto, passa a ser uma tarefa absolutamente relevante, e a experiência prática tem mostrado que medidas de cautela e prevenção reduzem não só o risco da ocorrência de um incidente, como também a minimização substancial de seus prejuízos.  

Não à toa, aliás, a própria LGPD –seguindo os parâmetros históricos e mais caros à governança corporativa– determina que as empresas que tratam dados pessoais (controladores e operadores) adotem as boas práticas de governança aptas a afastar ou diminuir os riscos. As chamadas “boas práticas de governança em privacidade” são, portanto, aquelas providências que bem convertem as principais diretrizes ou princípios de respeito à privacidade em práticas e atitudes concretas no dia a dia da organização e dos serviços que presta. São as providências que trazem para a verificação prática os cuidados de privacidade e o respeito aos marcos regulatórios específicos. Medidas que concretizam um quadro próprio de proteção e compliance da organização.

Nesse sentido, dentre as medidas preventivas, é recomendável o desenvolvimento de um verdadeiro plano de ação, que fique pronto para start assim que o incidente ocorra, com uma lista consolidada de várias tarefas coordenadas, e quem, na organização, serão os responsáveis por executá-las. A ideia é admitir que, infelizmente, e em que pesem todas as medidas preventivas técnicas e de governança adotas, um incidente pode ocorrer. É fundamental estar pronto e saber como agir diante do episódio.

Lembra-se, nesse ponto, inclusive, que a ausência ou o atraso na resposta ao incidente não só implicam a desconformidade com as normas de proteção de dados pessoais (GDPR – General Data Protection Regulation europeia e a LGPD), como também que o tempo e a qualidade da resposta ao incidente em segurança em dados pessoais são critérios legais a serem considerados quando da aplicação da sanção pela pela autoridade competente. Qual sanção será aplicada e qual o grau de punição.

A exemplo, é o que diz o art. 52, §1º, X, da LGPD: “§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: […] X – a pronta adoção de medidas corretivas.”. Em síntese: a existência de um plano de resposta rápido e eficiente pode ser absolutamente decisivo em relação às consequências para a organização em caso de incidente de segurança em dados pessoais.

E se rapidez e eficiência são os grandes nortes de um plano de resposta que se proponha adequado, medidas preventivas e reativas devem ser conhecidas e estruturadas. Algumas delas seriam:

1) Registro das operações de tratamento de dados. O primeiro ponto preventivo está associado ao correto mapeamento e à manutenção dos registros das operações de tratamento de dados pessoais. A ideia adequada do cenário é fundamental para a identificação do volume e a criticidade dos dados tratados, possibilitando o melhor entendimento da organização em relação aos riscos que está sujeita e os regimes jurídicos aplicáveis (ex. aplicabilidade do CDC ou não, aplicabilidade de regimes de regulação setorial ou não etc.). Além disso, apenas com o correto mapeamento prévio será possível, em caso de incidente, a realização do cross-checking, ou seja, a verificação segura se os dados envolvidos no incidente (ex. dados anunciados à venda em fórum ilícito da deep web) são realmente tratados pela organização.

2) Identificação prévia de funções e designação de um comitê de crise. O segundo ponto preventivo que deve constar em um plano de resposta é a identificação prévia dos gestores que atuarão diante de um incidente e as respectivas funções. Significa que a organização precisa preparar um comitê de crise que será acionado assim que identificado o incidente. Quem irá integrá-lo é uma questão própria de cada modelo de estruturação interna, mas a recomendação é que, no mínimo, o encarregado ou o DPO e os gestores das áreas de controles internos atinentes ao tema, tais como jurídica, compliance, segurança da informação e comunicação estejam envolvidos.

3) Homologação prévia de fornecedores. O terceiro ponto, na mesma linha de identificação e preparo prévio de quem atuará nas providências em resposta ao incidente, também é preciso definir se a organização contará com fornecedores externos no apoio desse comitê de crise e quais serão. Isso porque nem sempre as organizações contam com estruturas internas aptas a lidar com incidentes de segurança de dados pessoais, sobretudo quando o tratamento de dados pessoais não está no core do negócio. Desse modo, caso as áreas técnicas e jurídicas não estejam estruturadas para atender à situação é preciso antever a eventual necessidade da contratação de fornecedores especializados, estabelecendo-se previamente os SLAs, realizando-se as avaliações prévias de compliance anticorrupção, deixando-os, na medida do possível, em stand by para atuarem imediatamente assim que ocorra o episódio.

4) Estruturação interna de respostas. Como quarta medida preventiva, é preciso ter uma cadeia interna de validação de resposta aos titulares de dados pessoais já previamente definida. Espera-se, assim, que a organização já esteja preparada para atender a tais demandas. Porém, um plano de resposta deve constar especificamente mecanismos próprios de resposta aos questionamentos dos titulares em relação ao incidente em si. E mais que isso, quem serão os gestores internos e, eventualmente fornecedores externos, responsáveis por redigir a resposta e validá-la. Isso também deve ser pensado antes. A mesma ideia se aplica a a questionamentos de parceiros comerciais que saibam do ocorrido e estejam preocupados, da imprensa e de colaboradores internos da própria organização. É fundamental que as respostas sejam rápidas e alinhadas a todos os riscos existentes. Quem responderá? Como? O que será apresentado na resposta? Quem terá alçada de aprovação interna? Tudo tem de estar absolutamente estabelecido antes. 

5) Contratação prévia de cyber insurance. Considerando que a contenção de prejuízos também é uma providência preventiva necessária, a contratação prévia de um produto de cyber insurance ou ciberseguro voltado a resguardar a organização dos prejuízos decorrentes de um incidente em segurança em dados pessoais também é algo a ser considerado. Porém, o que não se recomenda é a contratação isolada do cyber insurance sem a adoção de outras boas práticas de governança em privacidade. Uma dinâmica dessa natureza pode denotar ou mesmo levantar a suspeita de que a organização, em vez do compromisso de responsabilidade social com os altos padrões de proteção de dados pessoais, apenas teria se preocupado com sua própria saúde financeira. 

6) Simulação de Incidente de Segurança (SIS). Outra medida importante é a estruturação e realização de um plano de simulação de incidente de segurança. Sua utilidade está na compreensão do grau de maturidade em privacidade da organização em relação a possíveis incidentes de segurança, incluindo os de dados pessoais. A proposta é que a organização simule um episódio de incidente de segurança de dados pessoais, a fim de verificar se a programação de resposta (se ela for existente) é executada com a velocidade adequada, envolvendo as áreas e gestores que precisam ser envolvidos e com a preservação correta das evidências relacionadas.

São medidas importantes e que não afastam a programação de outras ajustadas e inerentes às especificidades dos modelos de negócio. Fato é, portanto, e já concluindo esse ensaio, que traçar um plano preventivo de resposta a incidentes se apresenta como absolutamente fundamental. 

* Renato Opice Blum é Advogado e Economista; Chairman do Opice Blum, Bruno e Vainzof Advogados Associados; Coordenador de cursos sobre Direito Digital e Proteção de Dados da FAAP, EBRADI e Insper; Diretor da Itechlaw; Presidente da Associação Brasileira de Proteção de Dados; e Vice-Presidente da Comissão Especial de Direito e Inovação da OAB/SP** Com colaboração de Mauricio Tamer, advogado, árbitro e professor; doutorando em Direito Político e Econômico na Universidade Presbiteriana Mackenzie; e mestre em Direito Processual Civil pela PUC-SP.*** Artigo originalmente publicado na Noomis/Febraban.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp