Você sabia que 63% das pequenas e médias empresas já sofreram algum incidente com vazamento de dados? O dado é de 2019, do Estudo de Segurança Global do Instituto Ponemon.
Agora que as empresas estão cada vez mais digitais e a Lei Geral de Proteção de Dados (LGPD) está em vigor, fica cada vez mais importante prevenir esses incidentes e saber o que fazer quando eles acontecerem.
É para isso que serve o Plano de Respostas a Incidentes de Segurança em Dados Pessoais. Esse documento também é chamado de IRP, ou Incident Response Plan. Ele deve conter:
- A definição de incidente para a sua empresa;
- A descrição dos procedimentos a serem executados quando um incidente acontecer;
- As ferramentas, tecnologias e recursos a serem utilizados;
- A descrição dos colaboradores que fazem parte do processo e quais são suas responsabilidades.
Comece a elaborar o seu IRP
Para elaborar esse plano é importante o papel do DPO/Encarregado de Dados, que é quem já está a par dos assuntos de privacidade e cibersegurança dentro da empresa. Esse plano não pode ser rígido, devendo ser adequado e atualizado sempre que incidentes acontecerem e ele for colocado em prática.
Na hora de criar o plano, é preciso definir o que configura um incidente dentro da empresa e quais são os riscos que a organização está correndo. Conhecer o volume de dados tratados pela instituição e os riscos é fundamental, e uma boa ferramenta de Data Mapping ajuda nesse processo.
Depois, é preciso nomear os responsáveis por reagir quando um incidente acontecer. Eles devem ter bons conhecimentos sobre tecnologia, cibersegurança e sobre as próprias leis de proteção de dados, como LGPD e GDPR.
As etapas de reação devem estar bem definidas, seja na parte tecnológica com backups do sistema, ou na parte jurídica, para responder em casos de vazamentos ou uso indevido de informações pessoais perante a ANPD.
A tomada de subsídios sobre a notificação de incidentes
Entre fevereiro e março deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) realizou uma tomada de subsídios sobre a notificação de incidentes de segurança nos termos do art. 48 da LGPD.
O objetivo foi contribuir para elaborar essa regulamentação, cuja primeira minuta será objeto de consulta e audiência pública em breve.
A tomada de subsídios é um método que possibilita a participação da sociedade durante as fases preliminares de um processo regulatório. Inclui coleta de dados, ideias, sugestões e opiniões sobre determinado tema. A ANPD pode utilizar esses dados como subsídio para as fases de estudo e o desenvolvimento de propostas de atos normativos e regulamentos.
Um exemplo de contribuição nessa tomada de subsídios foi da Associação Brasileira de Internet (Abranet). A entidade propôs que os incidentes de segurança sejam divididos em três níveis, conforme os riscos e potencial de danos. Também apontou que alguns casos deveriam estar isentos da notificação obrigatória, entre outras sugestões.
Ainda que a LGPD seja uma novidade para algumas empresas e a ANPD ainda esteja em fase de estudos sobre diversos assuntos relacionados com a proteção de dados, a sua organização precisa estar preparada.
Começar a trabalhar em um bom Plano de Respostas a Incidentes e investir em boas ferramentas de gestão de privacidade é essencial para evitar futuros problemas e manter a relação com o público o mais transparente possível.
