Quem não tiver um plano de resposta a incidentes de segurança bem estruturado jamais conseguirá cumprir com os prazos previstos no regulamento estabelecido por meio da Resolução CD/ANPD nº 15/2024

Todas as empresas sofrerão um incidente de segurança. Em algum momento, a quebra de ao menos um dos três pilares da segurança da informação (confidencialidade, integridade e disponibilidade) inevitavelmente ocorrerá em toda organização, indiferentemente do seu porte, setor ou da preparação prévia para evitar situações dessa natureza.

Um e-mail enviado para um destinatário errado, um HD externo perdido, um celular corporativo roubado ou um currículo reutilizado como papel rascunho são todos exemplos de incidentes de segurança, alguns deles triviais. Não é, portanto, uma questão de se isso acontecerá, mas sim de quando isso acontecerá.

De acordo com a LGPD, incidentes de segurança que envolvam dados pessoais e que possam resultar em riscos ou danos relevantes para os titulares devem ser comunicados à ANPD e às pessoas físicas afetadas. A função primordial dessa comunicação é permitir que os titulares afetados tenham conhecimento do evento e, com isso, possam adotar as medidas que entendam cabíveis para prevenir eventuais prejuízos ou danos maiores.

Até recentemente, pairavam dúvidas a respeito de aspectos práticos sobre a forma, prazo e detalhes fundamentais de respectiva comunicação, uma vez que o legislador, ao editar a LGPD, deixou propositadamente diversas lacunas na legislação a serem preenchidas pela ANPD, mediante posterior regulamentação do tema.

Em abril, após mais de três anos e meio da entrada em vigor da LGPD, foi editado o Regulamento de Comunicação de Incidentes de Segurança, com a publicação da Resolução CD/ANPD nº 15/2024. Dentre os preceitos nele estipulados, há três pontos que chamam atenção e devem necessariamente estar do radar de todas as organizações que estão sujeitas à LGPD.

O primeiro deles é relacionado aos novos prazos instituídos pelo regulamento, a começar pelo prazo para realização da comunicação inicial, que deve ocorrer em até três dias úteis, contados da data do conhecimento de que o incidente afetou dados pessoais.

Na prática, é um prazo inviável para a completa compreensão de incidentes complexos, como ataques de ransomware, que demandam investigações forenses extensas, especialmente em organizações de grande porte. Ainda que exista a possibilidade de uma comunicação complementar ser feita dentro de 20 dias úteis, esse prazo também será insuficiente em boa parte dos cenários considerando os esforços que precisam ser empregados na gestão de crises cibernéticas.

O segundo deles diz respeito à necessidade da condução de trabalhos técnicos após a identificação do incidente para avaliar o evento profundamente, investigando a sua causa raiz e sua extensão. O regulamento inclui em uma de suas disposições a menção a documento nomeado de relatório de tratamento do incidente. Para fins de demonstração da observância da organização ao princípio da responsabilização e da prestação de contas, previsto na LGPD, não restam dúvidas que será um documento exigido pela ANPD.

O terceiro ponto de atenção está atrelado à publicidade que será conferida às comunicações de incidentes de segurança. A ANPD vinha adotando como regra a não divulgação de informações a respeito de incidentes de segurança comunicados por controladores de dados, o que tende a mudar diante das disposições previstas no regulamento, que estabelecem que a comunicação não é coberta por sigilo e que a ANPD poderá disponibilizar em seu sítio eletrônico detalhes sobre comunicados recebidos.

Esse último aspecto pode, inclusive, levar organizações a evitarem a realização de comunicações de incidentes em virtude do dano reputacional que a mera menção de que determinada empresa comunicou um evento dessa natureza pode gerar.

Fato é que o regulamento mudará completamente o jogo no que tange ao posicionamento que será adotado pelas empresas diante de um incidente. Para aquelas que achavam que não precisariam fazer nada em relação à LGPD, é hora de repensar essa estratégia com urgência, já que a fase de achar que a legislação era igual a uma gripe, que poderia pegar ou não, já passou faz bastante tempo.

Uma coisa é certa: quem não tiver um plano de resposta a incidentes de segurança bem estruturado, que tenha sido testado, seja constantemente monitorado e com o adequado treinamento de seus empregados para seguir os passos nele definidos, jamais conseguirá cumprir com os prazos previstos no regulamento ou com as demais obrigações nele instituídas. E para quem não cumprir com o regulamento, a multa pode até demorar a chegar, mas ela certamente virá.

Fonte: Valor Econômico

A equipe da JNardi Advogados e Consultores Jurídicos está a sua inteira disposição para esclarecer eventuais dúvidas sobre o tema.

Dra. Silvanya Condrade – OAB/SP 336. 577

Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.

Dr. Jeferson Nardi Nunes Dias – OAB/SP 186.177

Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.