Para fins legais, o incidente de segurança é o acontecimento indesejado ou inesperado que seja hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Sob tal perspectiva, pode-se dizer que um plano de resposta a incidentes de segurança deve ser voltado a lidar com qualquer situação que exponha os dados pessoais às situações acima descritas e integrantes de tal conceito.

Ao contrário do que o senso comum pode indicar, os incidentes de segurança da informação dentro de empresas ou organizações são corriqueiros e podem, inclusive, chegar a centenas de milhares por dia, a depender do porte da entidade. A perda de um pen drive, o furto de um notebook, a interrupção de acesso a um sistema são situações, do ponto de vista técnico, que podem ser consideradas incidentes de segurança, uma vez que a informação corporativa estará exposta a uma ameaça.

Contudo, muitos dos casos sequer envolvem dados pessoais ou, mesmo que envolvam, não configurariam uma ocorrência que possa propiciar problemas aos titulares. Vale lembrar que a LGPD estabeleceu em seu artigo 48 o dever do controlador de comunicar a ocorrência de incidente de segurança para a ANPD e para o titular dos dados pessoais, porém limitou àqueles que possam acarretar risco de dano ou dano relevante aos titulares.

Outros, porém, já ocorrem com todos os elementos de preocupação e gravidades para o dia a dia da empresa, por exemplo, quando esta se vê diante de uma mensagem mencionando a criptografia de todos os seus servidores, cuja liberação fica condicionada ao pagamento de um resgate em valor financeiro, normalmente em criptoativos (na maioria das vezes, em bitcoin).

Além das exigências trazidas pela LGPD, algumas outras normas exigem a comunicação do incidente aos respectivos órgãos competentes a depender de algumas condições, sem negar a existência de riscos reputacionais e à imagem, o que requer das empresas atuação diligente diante de um evento dessa natureza.

Resposta a um incidente de segurança da informação

O avanço tecnológico e a automatização das relações sociais naturalmente pressupõem que nenhuma empresa ou organização está imune a tais situações. Em que pese o crescente investimento em tecnologia e segurança da informação, além da ampla difusão de medidas preventivas – o mapeamento e a manutenção dos registros de operações de tratamento de dados pessoais, a designação prévia de funções e comitê de crise, a homologação de fornecedores, a contratação de cyber insurance e até a simulação de incidente de segurança –, um incidente pode ocorrer. Portanto, é imprescindível saber como agir diante do episódio.

Por sua gravidade, um incidente de segurança da informação, demanda a elaboração e aplicação imediata de medidas técnicas e jurídicas que visem conter os riscos legais, comerciais e reputacionais da empresa ou organização, pois a ausência ou o atraso na resposta ao incidente não só implica a desconformidade com as normas de proteção de dados pessoais (GDPR e LGPD), como o tempo e a qualidade da resposta ao incidente em segurança em dados pessoais são critérios legais a serem considerados quando da aplicação da sanção pela autoridade competente.

Comunicações

Ainda, é importante pensar na comunicação aos titulares dos dados envolvidos e órgãos competentes, a depender da atividade econômica desempenhada pela empresa, sua localização e de eventuais filiais, além do tipo de evento sofrido e da sensibilidade de eventuais dados.

Atualmente, existem algumas normas que exigem a comunicação obrigatória das autoridades competentes no Brasil, como a instrução nº 612/2019 da Comissão de Valores Mobiliários e a Resolução nº 4.658/2018 do Banco Central do Brasil. Além disso, caso a empresa possua dados no território da União Europeia, já que tem o livre arbítrio de escolher o local de armazenamento, deverá obedecer ao artigo 33 da General Data Protection Regulation (GDPR), comunicando o incidente.

Também é muito importante que se atendam às disposições normativas que versam sobre a comunicação do incidente, sob pena de aplicação de sanções em face da empresa. “Diante de incidentes que possam acarretar risco ou danos relevantes aos titulares, cumpre ao controlador comunicar à ANPD e ao titular do dado pessoal, de modo que tal situação deve também estar prevista em um plano de resposta a incidentes. Lembra-se, inclusive, que a não comunicação pode ser considerada, em si, um descumprimento à Lei, podendo resultar na aplicação das sanções administrativas previstas em seu art. 52. Assim, em um exemplo hipotético, poderia incorrer o controlador em duas infrações à Lei em razão de um incidente só, uma pelo próprio incidente (se esse se deu por violação aos preceitos legais) e uma decorrente da não comunicação.

Em resumo, a ampla difusão tecnológica e a impossibilidade de proteger em sua completude um sistema informático ou determinada rede fazem com que incidentes de segurança em dados pessoais sejam cada vez mais frequentes. Contudo, mais do que realizar a maior quantidade de medidas preventivas para evitar sua ocorrência, é necessário traçar um plano de contenção a seus riscos. Um plano eficiente e organizado deve estabelecer os papeis e responsabilidades de cada sujeito, dispor as medidas que deverão ser executadas e de forma coordenada. Apenas dessa forma é possível diminuir os impactos, retificar a crise e reparar eventuais vulnerabilidades, de modo que dificulte a ocorrência de outros incidentes no futuro.