Incidente de exposição de dados pessoais - É possível se preparar?

Quando o agente de tratamento se depara com um incidente de segurança relacionado a dados pessoais de clientes ou empregados, o momento é de agir com estratégia e seguir orientações previamente definidas em um processo ou plano de tratamento de incidentes.

Nesta hora, quem já estabeleceu o seu programa de governança em segurança da informação respira aliviado, preservando sua imagem empresarial.

A resposta adequada a um incidente de segurança é a diferença entre multas e penalidades ou a tranquilidade de um saneamento adequado da situação adversa. Mas a falta de um processo previamente estabelecido para responder a incidentes podem trazer problemas que a princípio parecem instransponíveis.

Certamente o agente de tratamento precavido terá um plano de ação claramente estabelecido, traçado dentro dos parâmetros e princípios da LGPD, combinados com as leis de privacidade aplicadas ao contexto do negócio.

Papéis e responsabilidades já vem estabelecidos nesse plano de ação.

Mas existem detalhes que são essenciais nesse momento de crise e não podem ser desconsiderados.

Um exemplo é o que se refere à adequação inicial dos instrumentos contratuais da organização. Revisar contratos é essencial. Disponibilizar cláusulas claras, transparentes, objetivas e direcionadas à segurança dos dados pessoais é necessário e imperativo. Inclusive, em uma cadeia de controladores e operadores estes devem ter entre si o comprometimento com a segurança dos dados em tratamento.

Mas não basta estar registrado o compromisso em um contrato impresso para que a situação se concretize.

Os programas de governança precisam ser reais para os envolvidos.

Não se gerencia risco ou conformidade sem um programa eficazmente executado.

É preciso testar, otimizar, auditar e buscar a melhoria contínua para garantir a eficácia e a agilidade que o agente de tratamento espera quando precisa conter e mitigar ameaças e danos, garantindo a continuidade do negócio.

Um plano de respostas eficiente se preocupa em demonstrar o comprometimento da organização e dos terceiros operadores.

Como demonstrar esse comprometimento?

Realizando auditorias específicas, focadas em frameworks eficientes e adequados ao contexto do negócio, como é o caso da ISO/IEC 27701, que propõe ao agente de tratamento a adoção do chamado SGSI - Sistema de Gestão de Segurança da Informação, o qual traz uma abordagem organizacional da questão relacionada ao controle de incidentes com dados pessoais.

Este sistema envolve a implementação e adoção de estratégias, políticas, planos, controles, medidas e diversos outros mecanismos de gestão, com suporte e estrutura da norma ISO/IEC 27001.

Entre um dos destaques do SGSI é que todo o procedimento deve ser documentado, especialmente registrando-se tudo que for definido pela equipe de respostas a incidentes.

Os responsáveis pelo plano de tratamento de incidentes devem ter condições de avaliar a situação, analisar as medidas que devem ser adotadas e gerar os relatórios de todo o incidente, para futura aprendizagem com cada incidente ocorrido.

É preciso definir questões básicas como "a quem comunicar primeiro?", "como atuar antecipadamente, no meio do problema e depois do ocorrido?"  ou "o DPO está amparado para fazer todas as comunicações devidas, preservando sua imparcialidade?".

Todas as empresas estão a mercê de incidentes e ataques relacionados à privacidade.

Um SGSI adequadamente implantado, devidamente atualizado e cujo cumprimento é levado a sério por todos os envolvidos no contexto da organização traz para a empresa a redução dos riscos de incidentes de segurança, a mitigação de efeitos e a adoção das medidas técnicas e administrativas referidas no art. 46 da LGPD:

"Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." 

Manter um sistema de identificação de riscos atualizado é o meio mais produtivo implementar controles e gerenciar as ameaças identificadas.

Além disso, é possível prover a adaptação dos controles em todas as áreas da empresa, inclusive em relação a terceiros envolvidos no tratamento dos dados pessoais.

Mais ainda, a melhoria contínua se torna auditável e passa a ser o objetivo de toda a equipe envolvida no programa de segurança da informação, gerando altos níveis de desempenho e eficácia no ambiente operacional da organização.

Em suma, estar preparado para enfrentar o incidente de exposição de dados pessoais é garantir que a integridade, confidencialidade e disponibilidade da informação estejam protegidos por um programa de segurança consistente, prático e efetivo para todos da organização.