Um plano de ação é criado antes mesmo de uma emergência. Entenda como criar uma política assertiva em casos de vazamento de dados com a Lei Geral de Proteção de Dados – LGPD.
A Lei Geral de Proteção de Dados – LGPD prevê multas e sanções para as empresas que não protegerem os dados pessoais do cidadão. Em casos de vazamento de informações, além de perdas financeiras, essas instituições têm sua reputação seriamente abalada e sua marca exposta diante das mídias tradicionais e da internet.
Mesmo com medidas preventivas, nenhuma empresa está imune ao vazamento e em caso de exposição indevida e a agilidade e a competência em solucionar o problema que também serão colocadas a prova.
Vamos entender como elaborar uma política eficiente para incidentes como o vazamento de dados e alinhar o que pode ser feito em casos como este.
Vazamento de Dados
Primeiro é necessário que todos entendamos o que é o vazamento de dados. Em suma, trata-se de um incidente de segurança em que há exposição de dados pessoais e informações sensíveis e sigilosas de forma pública ou a pessoas não autorizadas após alguma invasão ou acesso indevido a sistemas de segurança.
Um problema desta magnitude pede ações enérgicas e imediatas, por isso conheça os passos para criar uma Política de Incidente e de Respostas.
LGPD na prática
Segundo a Lei Geral de Proteção de Dados – LGPD, quem deve responder pelo incidente de vazamento de dados é o controlador, ou seja, a empresa que detinha os dados. E cabe ao controlador avaliar o que foi exposto, se algo foi perdido, enfim, o tamanho do problema.
De acordo com a lei, os agentes de tratamento devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de qualquer incidente de segurança.
Por isso ter uma política eficiente com os procedimentos a serem adotados em problemas de segurança é fundamental. Imagine ter que elaborar algo só no momento que o problema acontecer…
Uma conduta adequada para tratar o incidente deve seguir os seguintes passos:
1. Rastrear internamente a quantidade de dados afetados e as possíveis consequências.
2. Segundo o Art. 48 da LGPD, é preciso comunicar o incidente ao Encarregado de Dados. É ele quem fará a comunicação do vazamento à Autoridade Nacional de Proteção de Dados (ANPD).
3. A comunicação deve pelo menos descrever a natureza dos dados, indicar as medidas técnicas usadas na proteção, riscos relacionados ao vazamento e medidas que já foram adotadas para reverter ou mitigar os prejuízos.
Plano de Resposta
O sucesso de um bom plano de resposta começa com a escolha dos integrantes deste time que será responsável pela resolução dos incidentes. A equipe pode incluir colaboradores do TI, jurídico, marketing, gestores, etc.
Como geralmente este tipo de plano é colocado a prova em momentos de turbulência, ter modelos prontos de comunicação com comunicados oficiais poupará tempo da equipe caso um incidente de segurança ocorra. Aposte em modelos para comunicados internos, comunicado aos titulares, à ANPD e até à imprensa.
Mitigação e Segurança
Um dos principais objetivos após qualquer incidente é limitar os danos e evitar mais prejuízos às vítimas.
Feito isso, é hora de analisar de forma detalhada as questões, entender todas as falhas e as decisões tomadas após a emergência.
