Onde estamos

Al. Joaquim Eugênio de Lima, 680 - 1º andar - Jardim Paulista, São Paulo - SP

Entre em contato

Fonte: Opice Blum, Bruno e Vainzof Advogados Associados

Não se trata de se, mas de quando haverá o incidente de segurança. Nos últimos meses, ouvimos com frequência essa frase, que demonstrou ser verdadeira, considerando os incidentes de segurança reportados na imprensa. Nesta sexta-feira, dia 19 de março, a Polícia Federal prendeu, na cidade mineira de Uberlândia, o hacker suspeito do chamado “megavazamento de dados”, que resultou na exposição de 223 milhões de brasileiros.

A identificação e contenção de um incidente fazem parte de um trabalho que não é simples e rápido. De acordo com estudo do Ponemon Institute, patrocinado pela IBM, o tempo médio para identificar e conter vazamento de dados, um dos tipos de incidente de segurança, é de 280 dias. No Brasil, 100 dias a mais, totalizando 380.

Ainda segundo o levantamento, o prejuízo médio por vazamento de dados, que contém informações de identificação pessoal do cliente, é de 150 dólares por registro comprometido. O prejuízo médio total do vazamento de dados para a empresa atingida é de 3,86 milhões de dólares. 

Não são raros, aliás, os eventos em que os sistemas permaneceram invadidos e sob ameaça por meses, antes que fosse constatada a violação. Outra situação comum é a empresa ser informada por e-mail (geralmente o de contato disponível no site) pelo fraudador sobre o incidente.

Como se precaver e, caso ocorra, responder ao incidente de segurança?

Os responsáveis nas organizações pela Segurança da Informação devem ter rotinas implementadas e checadas com frequência, para que seja possível identificar o incidente internamente, e não por terceiros.

Confirmado o incidente de segurança, é preciso entender sua extensão, com atuação multissetorial para a devida resposta já previamente definida pela organização. A equipe responsável por esse trabalho deve conter, no mínimo, representantes dos departamentos de Tecnologia, Segurança da Informação, Jurídico e Relações Públicas e Comunicações, profissionais que devem ser acionados para compor o chamado “Comitê de Crise”, com a execução das ações necessárias para responder eficientemente ao incidente.

Devo notificar autoridades e titulares de dados?

De acordo com a LGPD (Lei Geral de Proteção de Dados Pessoais), é preciso notificar sempre que o controlador avaliar internamente que o incidente de segurança possa acarretar risco ou dano relevante aos titulares afetados. Essa probabilidade de risco ou dano relevante para os titulares será maior quando o incidente envolver:

– dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;

– potencial de ocasionar danos materiais ou morais, como discriminação;

– violação do direito à imagem e à reputação;

– fraudes financeiras;

– roubo de identidade.

Os seguintes aspectos também devem ser considerados:

– volume de dados envolvido;

– quantitativo de indivíduos afetados;

– boa-fé e intenções dos terceiros que tiveram acesso aos dados após o incidente;

– facilidade de identificação dos titulares por terceiros não autorizados.

O Opice Blum, Bruno e Vainzof Advogados Associados preparou um guia de consulta rápida, com as principais regulações envolvendo o dever de comunicação. Acesse aqui.   

Share: