LGPD: como proceder em casos de vazamento de dados?

As sanções da LGPD (Lei Geral de Proteção de Dados) começarão no dia 1º de agosto de 2021, sendo que os demais artigos da lei já estão em vigor desde 18 de setembro de 2020. Para evitar possíveis vazamentos de dados e, consequentemente, penalizações com base na legislação, as empresas precisam repensar suas ações internas como medidas de segurança focadas em tecnologia da informação e outras medidas como armazenamento físico e manuseio de informações por pessoas autorizadas.

Neste conteúdo, os especialistas da Grant Thornton Brasil Rebeca Arima, gerente de Compliance e Proteção de Dados, e Everson Probst, diretor na área de Cyber Crime, explicam a importância de as organizações estruturarem um plano de gestão de incidentes.

“Em poucas palavras, este plano é o caminho para gerenciar um incidente de vazamento ou exfiltração de dados protegidos pela LGPD. Isso porque as pessoas tendem a não saber por onde começar, principalmente diante de um cenário legislativo tão novo. Então, cabe às empresas se organizarem e direcionarem suas ações diante de um incidente de segurança”, afirma Rebeca.

Ter um programa de privacidade adequado à nova legislação, com atividades e medidas focadas em segurança da informação, é essencial para mitigar riscos e evitar que as informações sejam alvo de incidentes. Entretanto, é comum identificar a falta de organização por parte da maioria das instituições. Na visão dos nossos especialistas, a proteção de dados é um novo paradigma que as empresas tendem a enfrentar e, a partir do momento em que um negócio ou indústria tenha adotado medidas de segurança adequadas, ou atenda as melhores práticas de segurança da informação, o risco de dados vazarem ou serem exfiltrados é menor.

“É importante ressaltar que, caso a empresa não tenha processos de monitoramento e controle devidamente estabelecidos, é possível que já tenha sofrido algum incidente de exposição de dados por meio de exploração de vulnerabilidade de tecnologia sem ao menos ter conhecimento disso. E neste cenário em que as sanções da LGPD ainda não estão em vigor, é o momento ideal para as empresas se prepararem no sentido da prevenção e controle para evitar que isso aconteça”, ressalta Rebeca.

O que fazer quando ocorrer um vazamento de dados?

A partir do momento que a empresa identifica um incidente, seja por meio de seus monitoramentos ou pela repercussão ou impacto do ocorrido, os times de Segurança da Informação e Resposta a Incidentes devem ser imediatamente acionados e iniciar o plano de contenção, recuperação e investigação sobre o ocorrido. Da mesma forma, tão logo seja identificado qualquer risco ou suspeita de vazamento ou exfiltração de dados pessoais ou informação pessoalmente identificável, o Encarregado de Dados (DPO) e a equipe de privacidade devem ser comunicados e integrar o time de Resposta a Incidentes.

“Cabe notar que todo vazamento ou exfiltração de dados é um incidente de segurança. Entretanto, nem todo incidente é um vazamento. Esse esclarecimento é importante, pois todos os incidentes de segurança deverão ser tratados pelo time de resposta a incidentes da empresa seguindo um fluxo e governança baseado na sua complexidade e risco. Entretanto, o envolvimento do DPO e da equipe de privacidade será necessário quando da previsão de risco ou constatação do vazamento ou exfiltração de dados, seja acidental – resultante de descuido ou acaso, ou intencional – resultante de um ato ilícito”, esclarece Probst.

Principais aspectos a serem considerados

Uma vez iniciado o Plano de Resposta a Incidentes, alguns aspectos devem ser considerados especialmente para situações de vazamento ou exfiltração de dados:

Em casos de vazamentos é essencial que a empresa aja com transparência, tanto para as pessoas que foram afetadas diretamente com esse ocorrido, quanto para todos os stakeholders. “Caso a empresa esteja listada em bolsas e possui uma área de relações com investidores, a depender do tamanho do incidente, o impacto deste vazamento pode acarretar riscos muito altos para a companhia. Com isso, é importante que o plano de gestão de incidentes tenha uma etapa de comunicação com as partes interessadas e afetadas. A gestão de privacidade vai ter esse mesmo peso, é um risco muito grande para uma companhia, podendo se caracterizar como risco reputacional e gerando impacto negativo no mercado”, afirma Rebeca.

Gestão de privacidade é conhecer os processos

A criação de um Plano de Gestão de Incidentes e, consequentemente, de políticas de privacidade adequadas à LGPD e uma cultura de segurança começa com a empresa identificando sua estrutura organizacional. “A companhia precisa saber o que possui de sistemas, de diretórios na rede e quais informações são capturadas, armazenadas e processadas e por qual razão. Também é necessário saber qual é a sua equipe de tecnologia, tanto na parte de infraestrutura quanto na parte sistêmica, entre suas subdivisões, e seus especialistas de segurança da informação. Para que o suporte às ações mencionadas e até para evitar que ocorram, profissionais de segurança da informação passam a ser fundamentais para empresas”, reforça a especialista.

Existem diversas alternativas na implementação de uma estrutura para a gestão de dados. "Se a companhia não possui condições de ter um setor focado em segurança da informação, ela pode buscar uma empresa especializada nesta área. Caso uma empresa não tenha uma estrutura adequada, é possível que ela esteja vulnerável e exposta sem saber, inclusive vazando dados, e consequentemente os prejuízos serão ainda maiores”, conclui Rebeca.

Como a Grant Thornton pode auxiliar sua empresa nesse momento?

Conte com as nossas equipes especializadas em privacidade e proteção de dados para adequar seus processos de maneira customizada para atender às necessidades do seu negócio. Entre em contato conosco.