Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
Não se trata de se, mas de quando haverá o incidente de segurança. Nos últimos meses, ouvimos com frequência essa frase, que demonstrou ser verdadeira, considerando os incidentes de segurança reportados na imprensa. Nesta sexta-feira, dia 19 de março, a Polícia Federal prendeu, na cidade mineira de Uberlândia, o hacker suspeito do chamado “megavazamento de dados”, que resultou na exposição de 223 milhões de brasileiros.
A identificação e contenção de um incidente fazem parte de um trabalho que não é simples e rápido. De acordo com estudo do Ponemon Institute, patrocinado pela IBM, o tempo médio para identificar e conter vazamento de dados, um dos tipos de incidente de segurança, é de 280 dias. No Brasil, 100 dias a mais, totalizando 380.
Ainda segundo o levantamento, o prejuízo médio por vazamento de dados, que contém informações de identificação pessoal do cliente, é de 150 dólares por registro comprometido. O prejuízo médio total do vazamento de dados para a empresa atingida é de 3,86 milhões de dólares.
Não são raros, aliás, os eventos em que os sistemas permaneceram invadidos e sob ameaça por meses, antes que fosse constatada a violação. Outra situação comum é a empresa ser informada por e-mail (geralmente o de contato disponível no site) pelo fraudador sobre o incidente.
Como se precaver e, caso ocorra, responder ao incidente de segurança?
Os responsáveis nas organizações pela Segurança da Informação devem ter rotinas implementadas e checadas com frequência, para que seja possível identificar o incidente internamente, e não por terceiros.
Confirmado o incidente de segurança, é preciso entender sua extensão, com atuação multissetorial para a devida resposta já previamente definida pela organização. A equipe responsável por esse trabalho deve conter, no mínimo, representantes dos departamentos de Tecnologia, Segurança da Informação, Jurídico e Relações Públicas e Comunicações, profissionais que devem ser acionados para compor o chamado “Comitê de Crise”, com a execução das ações necessárias para responder eficientemente ao incidente.
Devo notificar autoridades e titulares de dados?
De acordo com a LGPD (Lei Geral de Proteção de Dados Pessoais), é preciso notificar sempre que o controlador avaliar internamente que o incidente de segurança possa acarretar risco ou dano relevante aos titulares afetados. Essa probabilidade de risco ou dano relevante para os titulares será maior quando o incidente envolver:
– dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
– potencial de ocasionar danos materiais ou morais, como discriminação;
– violação do direito à imagem e à reputação;
– fraudes financeiras;
– roubo de identidade.
Os seguintes aspectos também devem ser considerados:
– volume de dados envolvido;
– quantitativo de indivíduos afetados;
– boa-fé e intenções dos terceiros que tiveram acesso aos dados após o incidente;
– facilidade de identificação dos titulares por terceiros não autorizados.
O Opice Blum, Bruno e Vainzof Advogados Associados preparou um guia de consulta rápida, com as principais regulações envolvendo o dever de comunicação. Acesse aqui.