LGPD e vazamento de dados: tudo o que você precisa saber

Tempo de leitura: 18 minutos

Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde

Sabemos que a Lei Geral de Proteção de Dados prevê multas e outras sanções para as empresas que não protegerem os dados pessoais do cidadão, que é o cliente. Quando o assunto é a LGPD e vazamento de dados, essas penalidades são ainda mais substanciais – além do aspecto financeiro, é preciso considerar também que a infração ou não aplicação da nova lei poderá abalar seriamente a reputação da empresa do mercado. 

Não por acaso, cada vez mais as organizações buscam mapear riscos e, por consequência, evitar incidentes de segurança. Mesmo com medidas preventivas, entretanto, esses problemas ainda podem acontecer – é aí que deve entrar em cena o chamado “plano de resposta a incidentes”, que considera aspectos importantes na resolução do ocorrido:

  • entender a origem do vazamento;
  • coletar evidências;
  • evitar duplicações de dados;
  • entender o tracking;
  • encontrar logs de rastreabilidade;
  • revisar permissões de acesso.

Vale a pena destacar, aqui, que o encarregado de dados pessoais (DPO) referido na LGPD está entre as pessoas qualificadas para auxiliar as empresas a entender, prevenir e minimizar os impactos que envolvem o comprometimento de informações sensíveis e protegidas pelas novas regras. 

Mas afinal, como estruturar um plano de respostas no contexto da LGPD? O que a Lei estabelece no caso de vazamentos de dados e como as empresas devem proceder para manter a conformidade com as normas? É o que veremos a seguir! 

Recapitulando: o que é vazamento de dados?

lgpd e vazamento de dados

Em se tratando da LGPD e vazamento de dados, é inegável: mais do que nunca, esses eventos de cibersegurança têm tomado os noticiários. Recentemente, o megavazamento de dados que expôs os CPFs e outras informações pessoais de mais de 200 milhões de brasileiros trouxeram o assunto à tona e redobraram o alerta vermelho para organizações de todos os portes. 

Mas afinal, como podemos definir esse tipo de evento? Vamos lá: 

Vazamento de dados é um incidente de segurança no qual dados pessoais e/ou informações sensíveis e sigilosas são expostos de forma pública ou a terceiros sem o consentimento dos seus titulares

A partir dessa exposição não autorizada, a finalidade dos hackers pode variar: desde extorquir e prejudicar empresas até comercializar os dados em fóruns ilegais, o cibercrime permite que essas informações sejam acessadas, visualizadas, compradas e adulteradas de diferentes formas. 

De consequências potencialmente muito graves para organizações e pessoas físicas, o vazamento está na mira da Lei Geral de Proteção de Dados, conforme veremos adiante. 

Quais dados costumam estar envolvidos nesse tipo de incidente de segurança? 

Os números falam por si sós: de acordo com um estudo da IBM, 80% dos vazamentos de dados em organizações envolvem o roubo ou a perda de dados pessoais dos clientes. Essa informação corrobora não só a necessidade de proteção desse conteúdo sensível, mas também a grande importância da vigência da LGPD no Brasil. 

Segundo o relatório, há ainda o comprometimento de dados de propriedade intelectual, dados anonimizados de usuários, dados empresariais em geral e dados pessoais de funcionários. 

Quais são as principais causas de vazamento de dados? 

Em se tratando das vulnerabilidades que levam aos vazamentos, os ciberataques (a exemplo de malwares e do temido ransomware) são a razão mais frequente para os incidentes, seguidos por erros de sistema e as falhas humanas. 

Nessa perspectiva, além de uma linha de defesa eficiente contra a ação cibercriminosa, é fundamental que os negócios fiquem de olho em possíveis inconsistências de configuração e brechas na infraestrutura (que podem agir como “portas de entrada” para a ação hacker). 

Os golpes de phishing (ciberameaças baseadas em técnicas de engenharia social para persuadir usuários a revelarem dados sigilosos), falhas em softwares de terceiros e roubo de credenciais de acesso são outras situações críticas que podem levar a vazamentos. 

Confira também ? Perda de dados: 6 impactos negativos para empresas

LGPD e vazamento de dados: principais dúvidas 

Diante da criticidade de uma ocorrência de vazamento de dados pessoais – e as consequências que podem impactar as empresas e os titulares das informações -, a Autoridade Nacional de Proteção de Dados (ANPD) julga importante fornecer diretrizes sobre a conduta correta nesses contextos. Tome nota: 

Em casos de vazamento de dados, quem a LGPD responsabiliza legalmente pelo incidente? 

A nova Lei é clara: nas situações de violação de segurança – como é o caso da exposição não autorizada de informações -, quem deve responder pela ocorrência são os agentes de tratamento de dados pessoais, ou seja, o controlador e o operador. 

Em outras palavras, são responsabilizadas as pessoas e empresas envolvidas no processo de tratamento das informações em questão. 

LGPD e vazamento de dados: qual é a conduta adequada de acordo com as novas regras? 

Nos casos de incidentes de segurança – nos quais se incluem os vazamentos de dados -, os agentes de tratamento das informações nas empresas devem proceder da seguinte forma: 

  • Primeiro, deve-se realizar uma avaliação interna do incidente, incluindo a análise de fatores como natureza e categoria do evento, consequências (concretas e prováveis) e quantidade de dados afetados. Vale destacar que há um formulário formal de avaliação no site da ANPD
  • Conforme consta no Art. 5°, VIII da LGPD, é preciso comunicar o vazamento de dados ao encarregado/DPO; 
  • Se você for o operador, deve comunicar o incidente ao controlador nos termos da LGPD; 
  • Agora, chegou a hora de comunicar o vazamento à ANPD e também ao titular de dados (caso haja riscos ou danos relevantes aos titulares). 

Como comunicar o vazamento de dados à ANPD? 

A comunicação enviada à Autoridade Nacional de Proteção de Dados deve incluir, ao menos, as seguintes informações: 

  • a identificação e os dados de contato dos titulares envolvidos; 
  • um descritivo da natureza dos dados pessoais que foram afetados; 
  • os riscos associados ao incidente de segurança;
  • o apontamento das medidas técnicas e de segurança aplicadas para a proteção dos dados, considerando-se os segredos industriais e comerciais;  
  • caso a comunicação não tenha ocorrido de maneira imediata, deve-se explicitar as razões da demora; 
  • o esclarecimento das ações que foram ou serão tomadas para reverter ou minimizar os prejuízos do vazamento ou incidente de segurança. 

? Atenção: segundo o Art. 48 da LGPD, é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados a ocorrência do incidente de segurança que possa gerar riscos ou danos significativos aos titulares.

Após a comunicação, é interessante destacar que a ANPD irá analisar a gravidade da ocorrência, podendo ou não indicar a adoção de diferentes providências, a exemplo de divulgação ampla do incidente na mídia e atitudes para mitigar ou reverter os impactos do vazamento ou incidente de segurança. 

Qual é o prazo para comunicar o vazamento de dados à ANPD? 

Sobre o assunto, a LGPD determina que a comunicação deve ocorrer em prazo razoável, ainda a ser definido pela ANPD. Embora não tenhamos uma regulamentação estabelecida, a Lei aponta que a realização da comunicação será considerada em possíveis fiscalizações, inclusive como indicativo de “transparência e boa-fé”. 

Enquanto o prazo está pendente, a recomendação é comunicar o evento à ANPD com maior brevidade possível (considera-se o prazo de 2 dias úteis contados a partir da data do conhecimento do incidente). 

Quais são as penalidades para as empresas em casos de vazamento de dados? 

Quando falamos sobre a LGPD e vazamento de dados, não há penalidades e multas específicas para esse tipo de incidente, mas para infrações à Lei em geral – e isso inclui o próprio vazamento. 

Por esse motivo, as sanções para esses casos são as mesmas para todos os incidentes de segurança/violações da Lei, envolvendo advertências, multa simples ou diária de até 2% no faturamento da empresa no ano anterior (limite de R$50 milhões por infração), divulgação geral da infração cometida, proibição parcial/total das atividades relativas ao tratamento de dados e suspensão do banco de dados referente à infração, entre outras. 

LGPD e vazamento de dados: como estruturar um plano de respostas ao incidente? 

Mesmo com o rigor da lei e a cultura crescente de reforço da segurança da informação como pilar nas empresas, sabemos que vazamentos de dados ocorrem com uma frequência assustadora – e exigem proatividade e planejamento. 

Nessa perspectiva, contar com um plano de respostas a incidentes faz toda a diferença para possibilitar uma reação rápida do negócio, que consegue então se organizar para minimizar danos, estancar impactos e reduzir os custos de recuperação.

Na prática, a realidade é alarmante: segundo estudo do IBM Report de 2019, 67% dos entrevistados admitiram que seu negócio não conta com um plano de respostas a ocorrências de cibersegurança aplicado com consistência em toda a organização. 

De fato, sabemos que há empresas que não têm um time considerável de profissionais da área. Nessas situações, é possível partir para um ‘SOC cognitivo’, ou seja, trabalhar com a inteligência de maneira proativa, correlacionando todos os logs de dados, entendendo o que é ou não um desvio do padrão e, de maneira automática, tomar as devidas precauções.

Para se reestruturar, é preciso que a empresa faça algumas perguntas-chave, incluindo: 

  • Qual é o nível técnico e a estrutura da equipe?
  • Como está o comitê de crises?
  • Como funciona a gestão destas crises?
  • Quais são os principais papéis e responsabilidades de quem está envolvido no assunto hoje?
  • Quem será responsável pelas ações críticas?
  • Como coordenar as respostas de perguntas corriqueiras?
  • Como será o contato com a imprensa?
  • Quais são as equipes internas que conduzirão os casos?
  • Será necessário contratar equipes externas e/ou apoio especializado?

Nesse cenário, uma importante ferramenta que dá poder às equipes é o Data Mapping, um dos principais pilares de implantação de um programa de privacidade. O recurso é valioso não só para entender a estruturação, mas também para avaliar o que motivou a exposição ilegal de dados. 

Estruturando um Plano de Respostas

O planejamento deve conter etapas bem definidas, abordando aspectos como:

  • a análise do impacto nos atendimentos;
  • métodos para recuperação de desastres;
  • identificação dos dados sensíveis da organização;
  • definição de ações para proteção com base na gravidade do impacto de um ataque;
  • avaliação de riscos do seu ambiente de TI e identificação de áreas vulneráveis;
  • análise da atual legislação sobre violação de dados.

Além dessa estratégia para guiar as ações, é fundamental elaborar e “manter viva” uma sólida política de segurança da informação, contando ainda com um termo de responsabilidade assinado pelos colaboradores. Dessa forma, todo o time se compromete com a proteção das informações da instituição e combate o vazamento de dados.

Confira também ? LGPD e Direito do Consumidor: impactos e influências 

A prevenção é o melhor caminho: como evitar um vazamento de dados? 

  • Realize análises frequentes de vulnerabilidades; 
  • Invista em ferramentas efetivas de prevenção contra ciberameaças, a exemplo de antivírus corporativos, rotina de backup e firewalls;
  • Manter a atualização de softwares e sistemas; 
  • Promover a segurança da infraestrutura física de TI;
  • Criar uma Política de Segurança da Informação eficaz para funcionários e parceiros; 
  • Promover treinamentos de cibersegurança para os colaboradores;
  • Investir em uma gestão de senhas e uma política de controle de acessos eficientes; 
  • Manter o alerta sobre as configurações de segurança de ambientes na nuvem. 

Conclusão

Seja na elaboração de um plano de respostas ou na prevenção contra vazamentos de dados, é importante apostar em ações-chave como ter uma liderança forte e participativa, usar documentos pré-estabelecidos para as pessoas terem um guideline a seguir, analisar o risco, medir a profundidade e o controle do incidente, conscientizar as equipes sobre a importância da segurança da informação, intensificar o contato com órgãos reguladores e manter uma comunicação transparente com as equipes internas.

Outras ações incluem, ainda, revisar os processos de controle de riscos, preparar as  áreas que tenham contato com o público externo para que qualquer questionamento seja respondido de maneira adequada e realizar auditorias a fim de garantir que tudo aquilo que foi planejado funcione da melhor maneira possível e que não haja espaço para o aparecimento de erros.

Enfim, tudo precisa estar alinhado, incluindo o fato de que será necessário justificar e provar que a empresa seguia boas práticas e mantinha uma política de privacidade. Em se tratando da proteção de dados, a prevenção é sempre o melhor caminho! 

Esperamos que tenha esclarecido suas dúvidas sobre LGPD e vazamento de dados. Até a próxima! 

 

Nosso objetivo é proporcionar a solução mais eficaz para as demandas de nossos clientes, garantindo o uso das melhores tecnologias para a conquista de resultados expressivos e sustentáveis.

Newsletter

cadastre-se na nossa newsletter e receba conteúdos no seu e-mail