Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais

Compartilhe!

Os vazamentos de dados e ataques cibernéticos são riscos cada vez mais reais para as empresas na Era da Informação. A criação de um Plano de Respostas a Incidentes de Segurança em Dados Pessoais é uma das medidas que pode ser decisiva para que estes riscos não causem danos irreparáveis para as empresas. Este é o sexto texto da Série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados.

Neste texto, você compreenderá o que é e qual a importância e como fazer um Plano de Respostas a Incidentes de Segurança em Dados Pessoais, como ele se relaciona e protege as empresas em relação aos riscos de ataques cibernéticos e outros Incidentes de Segurança. 

Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais

Você pode encontrar aqui os 5 primeiros textos da nossa Série LGPD na Prática:

Na Era da Informação, com a popularização dos computadores pessoais e a facilidade do acesso à internet, cada vez mais as empresas dependem de processos digitais para a manutenção de seus modelos de negócios. Além de grande praticidade, diminuição de custos e economia de tempo, porém, a digitalização de processos traz consigo riscos de segurança que devem ser levados em consideração pelas empresas. 

Segundo o Estudo de Segurança global do Instituto Ponemon, em 2019, 63% das pequenas e médias empresas sofreram algum incidente com vazamento de dados. Segundo levantamento da National Cyber Security Alliance, assustadores 25% das pequenas empresas declararam falência após ataques de hackers

A pesquisa do Instituto Ponemon, sitiado em Michigan, constatou também que o Brasil é o país mais propenso a sofrer violações de segurança. Enquanto países como Alemanha e Austrália apresentam riscos de 14 e 17%, respectivamente, de serem alvo de ataques cibernéticos, as empresas brasileiras têm risco de 43% de serem atacadas. 

Somando o fato de que pequenas e médias empresas costumam não investir grandes valores em Segurança da Informação com a falta de uma cultura de proteção digital no Brasil, as pequenas e médias empresas brasileiras estão entre os principais e mais fáceis alvos de hackers e atores maliciosos que buscam comprometer ou roubar dados. 

Porém, não devemos entrar em pânico. As empresas brasileiras devem começar a ver os Incidentes de Segurança como uma realidade possível que deve ser evitada, conscientes dos riscos inerentes à digitalização dos processos, mas também conscientes de que podem atuar ativamente para proteger seus sistemas e suas informações. 

É neste sentido que entra a LGPD: a Lei Geral de Proteção de Dados tem como um de seus pilares centrais a implementação de medidas de Segurança da Informação que podem trazer ao Brasil uma cultura de maior conscientização na área. Do mesmo modo, a lei considera que mais grave do que sofrer um ataque ou passar por um vazamento de dados é não se prevenir e tomar as medidas e práticas necessárias e possíveis para a proteção de seus dados e de todos os que são afetados por possíveis ataques. 

A atividade de adequação às regras da Lei Geral de Proteção de Dados não se resume ao emprego de medidas tecnológicas e padrões de segurança. 

Na verdade, inclui, também, a necessidade de elaboração, manutenção e revisão de documentos. 

Tal tarefa, a princípio, poderia parecer uma medida burocrática: a necessidade de se armazenar uma montanha digital de documentos. Porém é importante lembrar que, além de garantir a adequação à LGPD, estas medidas de segurança também são medidas que podem trazer maior organização e otimização aos processos da empresa, bem como proteger a empresa, seus funcionários, clientes, parceiros e reputação. 

Na realidade, esses documentos, que serão abordados no presente capítulo, possuem duas finalidades essenciais:

Accountability: a accountability pressupõe um dever de prestar contas de forma transparente, guardando fundamentação no princípio da transparência e da responsabilização e prestação de contas, previstos, respectivamente, no art. 6, VI e X da LGPD.

Significa dizer, a princípio, que quando o titular exercer o seu direito potestativo de informação previsto no art. 18, o controlador conseguirá localizar, acessar e fornecer os dados relativos aos dados do titular que estão sendo tratados. 

Mas a accountability não está restrita ao atendimento das demandas de informações dos titulares. Inclui a prestação de informações à Autoridade Nacional de Proteção de Dados, que ocorrerá, dependendo da situação, por meio de solicitações, comunicações ou auditorias, com a finalidade principal de demonstrar para o órgão fiscalizar a adequação (ou intenção de adequação) aos ditames da lei. 

Prova pré-constituída: um dos grandes temores das empresas é o de serem acionadas na Justiça por ações de responsabilidade civil ou ações civis públicas em que se pleiteiem elevadas quantias fundamentadas em vazamentos de dados. 

Uma empresa com um sistema de documentação eficiente poderá fundamentar melhor as suas defesas processuais, especialmente porque a LGPD admite a inversão do ônus da prova nas ações de responsabilidade civil, transferindo grande parte da produção probatória para os agentes de tratamento (art. 42, p. 2).

Não basta a criação desses documentos. Eles precisam ser constantemente revistos e reanalisados, verificando-se se os dados pessoais estão sendo devidamente protegidos e resguardados de riscos internos e externos. 

Portanto, diante da evidente necessidade de se documentar as atividades relativas ao tratamento de dados, passa-se a analisar os documentos mais importantes relacionados à LGPD. 

Ter um Plano de Respostas a Incidentes parece óbvio e necessário – mas para algumas empresas esse ponto ainda é uma espécie de “calcanhar de Aquiles”. Na realidade, esse tipo de planejamento é o “salvo-conduto” da empresa quando uma brecha de segurança é descoberta – e, para isso, é preciso dedicar tempo e recursos para minimizar o estrago e o custo da recuperação.

O impacto da falta de planejamento pode ser realmente grande. Na Europa, o GDPR já obriga as empresas a reportarem incidentes de segurança dentro de 72 horas após a sua descoberta. No Brasil, a LGPD também obriga as empresas a prestar contas sobre vazamentos de informações em prazo razoável, que deverá ser esclarecido pela Autoridade Nacional de Proteção de Dados.

Segundo dados do IBM Report de 2019, 67% dos entrevistados admitiram que sua organização não possui um plano de resposta a incidentes de segurança cibernética aplicado de forma consistente em toda a empresa.

A verdade é que, com tempo e recursos suficientes, qualquer sistema pode ser comprometido. Levando isto em consideração, a criação de estratégias e planos para redução de danos é essencial para as empresas de hoje em dia, e é aí que entram os Planos de Respostas a Incidentes de Segurança em Dados Pessoais. 

O que é um Incidente de Segurança ou data breach?

O Artigo 4º do GDPR traz uma definição legal do que é considerado Incidente de Segurança na União Europeia: 

Incidente de segurança é “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.

É possível afirmar que a Lei Geral de Proteção de Dados consiste de uma adaptação menos detalhada e específica do General Data Protection Regulation (GDPR) aprovado na União Europeia em 2016. Assim, considerando que nossa lei trata de incidentes de segurança e de suas consequências jurídicas sem trazer uma definição específica, podemos nos basear na definição trazida pelo regulamento europeu que embasou a construção da nossa lei nacional de proteção de dados. 

Plano de Respostas a Incidentes de segurança em dados pessoais
O que é um Incidente de Segurança ou data breach?

Considerando que a LGPD não traz uma definição específica de Incidente de Segurança, podemos compreender melhor este conceito ao observar os artigos e disposições da lei que dele tratam.

Os artigos 46 e 48 da LGPD, por exemplo, afirmam que: 

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Assim, a LGPD deixa clara a responsabilidade dos agentes de tratamento (que são o controlador e o operador de dados) em proteger de seus sistemas dos incidentes de segurança de modo preventivo. 

Além  das medidas tomadas para evitar o incidente, o controlador também tem a responsabilidade de comunicar à ANPD caso este venha a acontecer. 

Caso os agentes deixem de adotar as medidas de segurança de que trata o Artigo 46, o controlador ou operador que der causa a dano decorrente da violação da segurança dos dados pode responder legalmente pelos danos causados. 

Ou seja, ao efetuar o tratamento de dados pessoais, o controlador ou o operador de dados tem a obrigação de tomar as medidas necessárias para impedir qualquer violação de segurança que possa afetar os dados coletados, sendo responsabilizado por qualquer dano decorrente dessa violação quando não demonstrar ter efetivamente tomado as medidas necessárias para a segurança da informação. 

O que é um Plano de Respostas a Incidentes de segurança em dados pessoais?

Considerando a posição das empresas brasileiras como alvo para ataques e violações de segurança, é importante que as empresas, além de outras medidas preventivas, tenham definidos planos de ação que preparem a organização para um eventual incidente de segurança. Este plano de ação é o Plano de Respostas a Incidentes. 

Plano de Respostas a Incidentes de segurança em dados pessoais
O que é um Plano de Respostas a Incidentes de segurança em dados pessoais?

Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.

O Plano de Resposta a Incidentes (IRP – Incident Response Plan) deve conter:

  • A definição de incidente para a empresa 
  • Descrição dos procedimentos a serem executados quando um incidente ocorrer
  • As ferramentas, tecnologias e recursos a serem utilizados em caso de incidentes 
  • Descrição dos colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.

Ou seja, o Plano de Resposta a Incidentes consiste de um documento interno da empresa que deve ser amplamente conhecido por todos os funcionários e que dispõe sobre as medidas que devem ser tomadas no caso de um Incidente de Segurança em Dados Pessoais. 

Como elaborar o Plano de Respostas a Incidentes?

É importante que a organização esteja consciente da importância do Plano de Resposta ao Incidentes, que deve ser implementado de maneira top-down com o apoio total de todas as áreas envolvidas.

O Plano deve ser visto como a maneira essencial de minimizar os danos de qualquer incidente que possa vir a acontecer, de minimizar o tempo de resposta ao incidente e de normalização das operações e, consequentemente, de minimização dos danos em reputação que podem ser causados por um incidente de grande proporção ou não devidamente respondido. 

Um plano de resposta ao incidente tem diversos requisitos, inclusive:

  • Um time de peritos internos (uma Equipe de Resposta às Emergências de Computador)
  • Um estratégia aprovada e juridicamente revista
  • Suporte financeiro da empresa
  • Suporte executivo/alta gerência
  • Um plano de ação factível e testado
  • Recursos físicos, como armazenamento redundante, sistemas de standby e serviços de backup

A Equipe de Resposta a Emergências de Computador (The Computer Emergency Response Team – CERT)

O termo Equipe de Resposta às Emergências de Computador (Computer Emergency Response Team – CERT) refere-se a um grupo de peritos internos preparados para agir rapidamente no caso de uma situação catastrófica com computadores. Encontrar as competências cruciais para uma CERT pode ser um desafio.

O conceito de pessoal apropriado vai além das habilidades técnicas e inclui questões de logística, como localização, disponibilidade e desejo de colocar a empresa à frente da vida pessoal quando uma emergência ocorre. Uma emergência nunca é um evento planejado; pode acontecer a qualquer momento e todos os membros da CERT devem aceitar a responsabilidade de responder a uma emergência a qualquer hora.

As equipes típicas de uma CERT incluem administradores de sistemas e de rede, assim como peritos em segurança da informação. Os administradores de sistema provém o conhecimento e habilidades dos recursos do sistema, inclusive backups de dados, backup de hardware disponível para uso e outros. Administradores de rede provêm seu conhecimento de protocolos de rede e a habilidade em redirecionar o tráfego de rede dinamicamente.

O pessoal de segurança da informação é útil para rastrear e investigar detalhadamente as questões de segurança assim como para analisar os sistemas comprometidos post-mortem (após o ataque).

Nem sempre é possível, mas deve haver redundância no pessoal de uma CERT. Se não for viável ter uma área especializada na empresa, então deve haver treinamento para outras áreas sempre que possível. Lembre-se que se somente uma pessoa tiver as informações cruciais para a segurança e integridade dos dados, então a organização inteira ficará desamparada na ausência desta pessoa.

Alguns aspectos importantes da resposta ao incidente a considerar incluem as questões legais. Planos de segurança devem ser desenvolvidos juntamente aos membros da área jurídica ou algum tipo de conselho geral. Assim como toda empresa deve ter sua própria política de segurança corporativa, toda empresa tem sua própria maneira de lidar com incidentes sob a perspectiva legal.

Questões regulatórias em nível local, estadual e federal vão além do escopo deste documento, mas são mencionadas pois a metodologia de análise post-mortem será ditada, pelo menos em parte (ou em conjunto com), pelo conselho jurídico. O conselho geral pode alertar o pessoal técnico das ramificações legais das infrações de segurança, os perigos de registros pessoais, médicos ou financeiros de um cliente vazarem, e a importância de restaurar os serviços em ambiente críticos como hospitais e bancos.

Etapas de criação e implementação de um Plano de Respostas a Incidentes

Plano de Respostas a Incidentes de segurança em dados pessoais
Etapas de criação e implementação de um Plano de Respostas a Incidentes

Podemos dividir o processo de criação e implementação de um Plano de Respostas a Incidentes em 6 etapas:

Preparação

A primeira etapa consiste da preparação interna da organização para que o Plano possa ser implementado de forma eficiente. Ela inclui definir as políticas, ferramentas, procedimentos e plano de comunicação que formarão o Plano de Respostas a Incidentes, bem como assegurar o apoio das áreas envolvidas e a priorização da implementação do Plano.

Identificação

A identificação de qualquer Incidente de Segurança é aspecto chave para a boa implementação de um Plano de Respostas a Incidentes. É importante que a equipe de segurança da informação possa dispor das principais medidas de detecção e identificação de Incidentes, como ferramentas de monitoramento, eventos de log, mensagens de erro firewalls, etc.

Uma resposta a um incidente deve ser decisiva e executada rapidamente. Como há pouco espaço para erros, é essencial que as práticas de emergência sejam ensaiadas e os tempos de resposta medidos. Desta maneira, é possível desenvolver uma metodologia que estimule a velocidade e a acuracidade, minimizando o impacto da indisponibilidade de recursos e os potenciais danos causados pelo comprometimento do sistema.

Contenção

Após a identificação de um incidente, o mesmo deve ser contido e deve ser isolado para que outros sistemas não sejam afetados ou para evitar maiores danos ao ambiente. Essa etapa inclui a contenção de curto prazo, backup do sistema e contenção a longo prazo.

É importante que, durante a etapa de contenção, ocorra simultaneamente medidas que permitam a documentação e o registro do incidente e das medidas de contenção tomadas, devendo ser evitado ao máximo que evidências e provas do ocorrido sejam destruídas ou perdidas. 

Erradicação

Após a contenção da ameaça, a próxima etapa consiste da remoção da ameaça e restauração dos sistemas afetados para que retornem ao seu estado original antes do incidente.

Recuperação

Nesta etapa os sistemas afetados retornarão ao ambiente de produção após testes e validações para garantir que nenhuma ameaça permaneça.

Lições aprendidas

Para fechar o ciclo, esta etapa visa atualizar o Plano de Resposta a Incidentes com as ações realizadas para tratar o incidente, contribuindo para o aprendizado da equipe e facilitando as próximas atuações em futuros incidentes.

Em paralelo com a implementação do Plano de Respostas a Incidentes, existem diversas medidas que devem ser tomadas, antes, durante e depois da ocorrência de um eventual incidente:

Antes do Incidente

→ Designação prévia de um comitê de crise 

Um dos principais pontos para a implementação de um Plano de Respostas a Incidentes de Segurança é a definição de atores e de suas responsabilidades. É essencial saber quem deve fazer o que antes mesmo que qualquer incidente ocorra, para que a organização se encontre organizada e preparada no momento em que for necessário. 

Isto implica na designação de um Comitê de Crise, que deve conter o Encarregado ou DPO, membros da equipe de TI e de Segurança da Informação, Jurídico, Compliance e comunicação, entre outras áreas que possam ser relevantes dependendo do funcionamento da empresa. 

O Comitê de Crise tem a responsabilidade de garantir que todas as áreas da empresa estejam prontas para um Incidente e que estejam preparadas de acordo com o Plano de Respostas a Incidentes. 

Outro aspecto importante consiste na análise da necessidade de contratação de terceiros no momento de crise, adiantando processos de contratação que podem prolongar desnecessariamente o tempo que o Incidente irá afetar a organização. O ideal é já conhecer os terceiros que serão necessários no caso de um Incidente e já os deixar cientes da possibilidade de sua contratação em um momento de crise para responder ao Incidente. 

→ Estruturação prévia das respostas necessárias

Além da contenção de riscos e eliminação das ameaças, a Resposta ao Incidente consiste da criação de diversos documentos, como por exemplo a comunicação do incidente para os titulares de dados pessoais ou para a Autoridade Nacional de Proteção de Dados. No mesmo sentido, pode ser que, no momento do Incidente, seja necessário contatar terceiros ou informar parceiros sobre o status do Incidente, bem como possíveis respostas à imprensa ou prestação de informações às Autoridades. 

Todos estes documentos são complexos e muitas vezes devem ser preparados e enviados com prazos curtos em meio ao incidente. Por isso, é importante que as áreas responsáveis, como o jurídico, por exemplo, já tenham as respostas necessárias estruturadas e preparadas, ou ao menos tenham preparado métodos de criação destas respostas de maneira rápida e eficiente.  

Durante o incidente

→ Identificação, coleta e preservação das evidências

Como já citamos anteriormente, um aspecto essencial da Resposta aos Incidentes é a coleta e preservação de evidências que possam vir a ser úteis ou necessárias para a organização posteriormente. 

Esta etapa é colocada na prática por meio da aplicação de procedimentos específicos que tem como função possibilitar a coleta das evidências. Estas evidências podem ser úteis, por exemplo, para demonstrar às autoridades que a organização teve uma resposta adequada e tratou do incidente com a gravidade necessária. Especialmente no contexto da LGPD e da ANPD, as medidas tomadas pela organização para conter o Incidente e seus danos pode ser definitiva para a minimização das sanções e multas aplicadas à empresa. 

Por exemplo, a identificação/responsabilização do usuário responsável pelo vazamento de dados pessoais ou ao menos a tentativa, por exemplo, tem sido considerado um argumento válido de redução de sanções, demonstrando, na prática, que a organização adotou as providências que estavam ao seu alcance. Mais grave do que o incidente em si, é a organização desprezá-lo. Diversas decisões na União Europeia em decorrência do GDPR demonstram esse fato. 

Na prática, o Plano de Resposta a Incidentes pode conter procedimentos que permitam a coleta das informações necessárias, como por exemplo:

  • Procedimentos que definam como ocorrerá a identificação do incidente ou de suas evidências, registrando quem efetuou a identificação e registrando as informações pertinentes
  • Procedimentos de preservação e registro das informações coletadas
  • Procedimentos e responsabilidade para a lavratura de atas notariais e outras medidas necessárias
  • Procedimento para elaboração de relatório técnico interno circunstanciado do incidente. 

Após o incidente

→ Elaboração de relatório final do incidente e revisão dos procedimentos

Após a neutralização da ameaça, é essencial que seja elaborado um relatório devidamente circunstanciado de todas as medidas que foram adotadas, apresentando diversas informações relevantes:

  • Informações sobre o próprio incidente em si, quando foi identificado, qual sua natureza;
  • Medidas tomadas para preservação das evidências, procedimentos seguidos para a contenção da crise;
  • Apresentação do Comitê de Crise e de suas ações em relação ao incidente;
  • Funções elaboradas pelos colaboradores envolvidos;
  • Questionamentos e demandas externas, como requerimentos de titulares de dados, autoridades e imprensa, bem como suas respostas;
  • Medidas de correção técnicas e de Governança adotadas;
  • Balanço geral do incidente, danos causados, etc. 

O relatório deve ser desenvolvido pelo Encarregado de Proteção de Dados, que deverá acompanhar todo o período de Resposta ao Incidente, tomando as informações necessárias. O relatório, além de ter uma função de comprovação das medidas tomadas pela empresa frente às autoridades, é importante para que a empresa possa aprender com o ocorrido, podendo compreender as causas do incidente, bem como avaliar em que sentido seu Plano de Resposta a Incidentes e seus procedimentos foram efetivos ou não e analisar a atuação dos responsáveis. 

Como elaborar uma Comunicação de Incidente de Segurança / Data Breach Notification

Por fim, a última medida que deve ser tomada após o incidente merece uma atenção mais detalhada, que é a Comunicação de Incidente de Segurança, ou Data Breach Notification. 

Como elaborar uma Comunicação de Incidente de Segurança / Data Breach Notification

Em atendimento ao já citado princípio da transparência, a LGPD atribui ao controlador o dever de notificar os titulares de dados pessoais e a ANPD a ocorrência de um incidente de segurança “que possa acarretar risco ou dano relevante aos titulares” (art. 48, caput). 

Logo, ao contrário do que se comumente pensa, a notificação não se restringe aos vazamentos de dados (data leaks), tão corriqueiros, infelizmente, mas de todo e qualquer incidente de segurança, de origem interna (causados por empregados ou colaboradores) ou externa (provocados por crackers). 

A comunicação, portanto, é de incidente de segurança que já ocorreu, e não de uma mera ameaça. Não se trata, também, um incidente qualquer, mas de um incidente que possa acarretar um risco ou dano de caráter relevante. 

Mas como se avalia a relevância do risco ou do dano? A LGPD foi omissa nesse ponto, talvez, imaginando que essa lacuna será preenchida por uma normatização da ANPD. 

Doutrinariamente, poder-se-ia considerar relevante o risco ou dano que impedisse ou dificultasse o tratamento de dados relacionados a direitos e garantias fundamentais (especialmente a intimidade e a privacidade); a dados de crianças, adolescentes e idosos; a dados sensíveis e aqueles relacionados a atividades profissionais, de consumo e de crédito.

Essa comunicação deverá ser feita em um prazo razoável, a ser definido pela ANPD. Verifica-se, portanto, que o legislador já estabeleceu um parâmetro para o referido prazo: a razoabilidade. A ANPD poderá se socorrer do direito comparado: a GDPR define o prazo de 72 horas para a comunicação à autoridade como regra geral.

A Comunicação de Incidente de Segurança é uma ação prevista pela LGPD, cujo conteúdo mínimo está definido no artigo 48:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

I – a descrição da natureza dos dados pessoais afetados:  

Não basta apontar se os dados pessoais são convencionais (art. 5, I) ou sensíveis (art. 5, II), mas deve-se arrolar, com precisão, as espécies: contas de email, dados de cartão de crédito, senhas, informações de geolocalização, etc., para que o titular tenha uma ideia, ainda que estimada, dos riscos existente ou dos danos possíveis.

II – as informações sobre os titulares envolvidos: 

É a descrição de quais e quantos titulares foram afetados. Como normalmente a notificação será exigida em um prazo exíguo, tal informação será estimativa, afinal, é muito difícil se definir a precisa extensão do dano e as pessoas afetadas de forma rápida. 

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção, 

Observados os segredos comercial e industrial, a LGPD exige, em seu art. 46, que os agentes de tratamento (controlador e operador) adotem medidas de segurança (técnicas e administrativas) para a proteção de dados pessoais. Tais medidas devem ser aqui descritas, para se demonstrar o compliance com a lei. Obviamente, essa descrição minuciosa admite algumas limitações, como os segredos comercial e industrial, que devem ser poupados para a preservação do negócio. Dependendo do tipo de incidente, e havendo o risco de ser repetido, a descrição de algumas medidas de segurança adotadas também poderiam ser ocultadas, segundo a técnica da “segurança por obscuridade” (Security Through Obscurity – STO).

IV – os riscos relacionados ao incidente:

Trata-se de uma análise prospectiva do incidente, levando em consideração, principalmente, os itens I e II. Poderá mencionar, também, os danos que já ocorreram, como a destruição ou encriptação de dados.

V – os motivos da demora, no caso de a comunicação não ter sido imediata:

É a justificativa, devidamente fundamentada, da não apresentação imediata da notificação. Poderá decorrer, por exemplo, da complexidade e do tamanho (número de titulares afetados, quantidade de dados, etc.) do incidente.

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo:

Aqui devem ser mencionados, de forma clara e objetiva, e sem exagero de expressões técnicas, as condutas que foram e que serão implementadas para extinguir ou diminuir os efeitos do incidente, como o contato com as autoridades policiais, determinação de troca de senhas pelos usuários, a atualização de sistemas e servidores, etc.

É interessante notar que a GDPR estabelece dois procedimentos de notificação: um, mais simples, voltado para o titular e outro, mais detalhado e complexo, destinado à autoridade de proteção de dados. (art. 33). Na LGPD, porém, há um único procedimento, que é este descrito no art. 48. 

Exemplos de Data Breach Notification

Além dos pontos destacados acima, podem, ainda, ser incluídos outros itens na Comunicação de Incidente de Segurança (Data Breach Notification), tais como a necessidade de um comportamento por parte dos titulares afetados, como a redefinição de senhas de acesso ou, ainda, a solicitação para que verifiquem problemas em suas contas, como foi feito pelo aviso de 2016 do Uber:

Informações sobre o incidente de segurança de dados ocorrido em 2016

Em outubro de 2016, a UBER passou por um incidente de segurança de dados que causou a violação de informações relacionadas a contas de usuários e motoristas parceiros. 

As informações de usuários incluem nome, endereço de e-mail e número de telefone celular de contas em nível global. Nossos peritos forenses externos não observaram nenhum indício de download de históricos de locais de viagens, números de cartões de crédito, números de contas bancárias ou data de nascimento.

No seguinte local, essa violação afetou cerca de 196.000 usuários e motoristas parceiros: Brazil. Esse número é aproximado (e não exato nem definitivo), porque as informações que recebemos por meio de nossos apps ou nosso site para identificar o código do país podem ser diferentes do país onde a pessoa realmente mora.

Quando o incidente aconteceu, nós tomamos medidas imediatas para proteger os dados, bloquear acessos não autorizados e reforçar a nossa segurança de dados.

PRECISO FAZER ALGUMA COISA?

Acreditamos que nenhum usuário específico precise tomar qualquer medida. Não notamos nenhuma evidência de fraude ou de uso indevido associada ao incidente.

Estamos monitorando as contas afetadas, que foram marcadas para proteção adicional contra fraudes. Recomendamos que todos os usuários verifiquem com frequência se há algum problema em suas contas. Entre em contato conosco por meio da Central de ajuda se perceber algo estranho na sua conta Uber. Para isso, entre no app e toque em “Ajuda” > “Opções de pagamento e conta” > “Não reconheço uma cobrança que recebi” > “Acho que a minha conta foi hackeada”.

Outro exemplo que merece atenção é o data breach notification do aplicativo Canva

Há uma excelente divisão de tópicos, com seções para o incidente, para os danos causados, para as medidas que foram tomadas pela empresa e para aquelas devem ser realizadas pelos usuários. Há a predominância de uma linguagem simples e direta:

Canva Security Incident – May 24 FAQs

June 1, 10:13 AEST

Following an investigation with cyber security experts, we now have a better understanding of the impact of the attack and want to provide as much context as we can to our community.

On Friday 24th May 2019, we detected a malicious attack on our systems, which we stopped as it was occurring. Our first response was to lock down Canva, then notify authorities and users that the breach had occurred. Because the intruder was interrupted mid-attack they also took a different tactic to most security incidents and tweeted about the attack, which required a rapid communication response.

Since then we have worked with cyber security experts and authorities, such as the FBI, to help protect our users, and are communicating the latest information below.

A primeira parte contextualiza no tempo o incidente, informando a data de sua descoberta, e a primeira resposta.

What did the attacker do?

They accessed information from our profile database for up to 139 million users. The profile database contains usernames, names, email addresses, country, and optionally, user-supplied data about their city and/or homepage URL which was available through their public profile.

They accessed cryptographically protected passwords (these were individually salted and hashed with bcrypt) for any of those users with username/password logins.

They claimed to have obtained OAuth login tokens for users who signed in via Google. Our OAuth tokens are encrypted with AES128 and the encryption keys are securely stored elsewhere. We have found no evidence they downloaded the OAuth tokens or tried to access the keys.

They briefly viewed files with partial credit card and payment data. We found no evidence these files were stolen. Files contained partial credit card data from before September 28, 2016 (name, expiry date, last 4 digits, card brand and card country), and payment histories from before September 16, 2017 that contained transaction dollar amounts, dates, and IDs for some payments for users and contributors. These limited card details cannot be used for payments. Canva never stores full credit card details.

Nesse item, foram descritas as atividades praticadas pelos invasores: quais e quantos dados foram acessados (incluindo senhas, tokens de login e dados de cartões de créditos). Aqui, a linguagem fica um pouco mais complexa, afinal diz respeito a informações de caráter tecnológico. Mas, pergunta-se: há a necessidade de passá-las aos titulares, que normalmente não detêm esse conhecimento? 

What is Canva doing about it?

We continue to invest heavily in security. We intend to publish a technical post mortem of the incident once our investigations are complete. Our first priority, though, is to protect our users. Here’s what we’re doing:

Notifying our users: We want our users to know that they’ve been affected. We’ve directly contacted users via email, but some users have out-of-date or incorrect email details so we have also used in-app notifications and the press to alert users to the breach. We are following up on our initial notification with individual emails to each user outlining what data was accessed.

Prompting users to change passwords: We’ve asked all users who had passwords set before the attack to change them, and are adding rules to help users set stronger ones.

Resetting OAuth tokens: We’ve worked with our partners to make sure all active login tokens that existed prior to the breach are reset. These users will be prompted to reconnect their Canva account.

Coordinating with partners: We are working with partner agencies to share information about the attack, identify the risk to users, and coordinate responses. For example, we’re alerting the email abuse teams of major providers to make it harder for attackers to phish our users.

Partnering with 1Password: While we recommend that our users use different passwords for each site they use, we know that’s hard. We have partnered with 1Password to offer a year free to Canva users who don’t already use their service.

Nesse tópico, são descritas as iniciativas tomadas para reverter ou mitigar os prejuízos. Destacam-se as que buscam notificar os titulares de todas as formas possíveis. Caso a informação da conta de e-mail inserida no cadastro esteja desatualizada, os usuários receberão avisos dentro do próprio aplicativo. 

What can Canva users do?

Change your password: If you have a password on Canva and haven’t done so already, we are recommending that everyone change their password on Canva [https://www.canva.com/account/reset/], and if you used the same password on other sites you should change those too.

Report suspicious emails: As a precaution, we’re encouraging everyone to be wary of suspicious emails. Attackers often use creative methods to trick you into handing over your personal information. If you do receive any emails that you believe are suspicious, do not click on them and do not respond. We encourage you to flag them with your email provider.

Use a password manager: We recommend you use a password manager such as 1Password or Google Chrome to generate and remember a unique, secure password for each site you use.

Update your Google/Facebook login if we’ve disconnected it: If you sign in using Facebook or Google we may have reset your login. Just login again to get back into your Canva account.

Update your contact details: Once you have logged in to Canva, please add or update your contact details so we can always contact you about your account.

Aqui há uma lista de recomendações de condutas pelo usuário, inclusive, com a indicação de reinicialização de senha por meio de um link informado no texto. 

Recomenda-se, por questões de segurança da informação, não praticar essa conduta, devendo-se, na verdade, informar que o controlador jamais enviará e-mails com links desse tipo. Há uma justificativa: um criminoso poderia se aproveitar da divulgação pública do incidente para criar uma falsa comunicação, com um texto apontando para um link malicioso, e assim capturar os dados do titular ou proceder à instalação de um malware, em um golpe que combina engenharia social com phishing scam.

A LGPD não determina o meio em que deverá ser feita essa notificação. Para garantir a accountability e trazer a ciência do fato para o titular, sugere-se que seja feita por escrito, preferencialmente para o seu email ou outro meio que garanta a comunicação pessoal (Whatsapp, por exemplo).

Diante da ausência das informações mínimas, nada impede que a ANDP exija do controlador a sua complementação e, paralelamente, estabeleça um procedimento administrativo para a imposição de uma das sanções do art. 52. 

Por sua vez, a autoridade nacional, diante da notificação do controlador, poderá lhe exigir, observada a gravidade do incidente: “ampla divulgação do fato em meios de comunicação”, a ser veiculada, por exemplo, em uma página ou um domínio especialmente criado para isso. Tal medida se aproxima muito do recall, que é o dever do fornecedor de produtos e serviços, nas relações de consumeristas, de comunicar a sua periculosidade aos consumidores e às autoridades (art. 10, p. 1, CDC). 

Como a atividade de tratamento de dados é realizada/executada pelo operador, muito provavelmente será ele quem detectará o incidente de segurança. Contudo, o dever de comunicação do incidente é exclusivo do controlador, conforme o art. 48, caput. 

Dessa forma, seria recomendável a inclusão de uma cláusula no contrato de prestação de serviços entre controlador e operador que determinasse o dever deste último de informar àquele, o mais rápido possível, a ocorrência de algum incidente nas atividades de tratamento de dados pessoais:

Cláusula XXX – Dever de Comunicação de Incidentes

A Contratada (o operador) deverá comunicar à Contratante (o controlador), o mais breve possível, a ocorrência de qualquer incidente de segurança relacionado ao tratamento de dados pessoais objeto do presente contrato, sob pena de multa diária de R$ XX.XXX,00.

Parágrafo único: a comunicação deverá ocorrer, simultaneamente, para o email incidentes@xxx.com e para o telefone XX XXXX-XXXX.

É importante mencionar que, ainda que regule todos os processos de tratamento de dados por pessoa física ou jurídica no Brasil, a LGPD não esgota as normas e legislações que podem ter relação com a proteção de dados ou com a segurança da informação. Assim, é importante que a empresa analise se existem legislações ou normas específicas para sua área de atuação, o que pode ser efetuado por meio de um Inventário de Regulamentações.

Um exemplo diz respeito às instituições financeiras, que no caso de um incidente de segurança deverão obedecer as normas da Resolução 4.658/2018 do Banco Central, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O art. 22 dessa norma determina que tais instituições devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o seu art. 3, IV, ou seja, relacionados em sua política de segurança cibernética. 

Deverão ser incluídas as “informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros”(p.1), a ser compartilhadas com o Banco Central. 

Dessa forma, havendo um incidente de segurança com uma instituição financeira, a notificação deverá ser dirigida:

  1. aos titulares de dados pessoais;
  2. à Autoridade Nacional de Proteção de Dados;
  3. ao Banco Central do Brasil

Há obrigação semelhante na Circular 3.909/2018 do Banco Central, voltada para as instituições de pagamento, a qual, em seu art. 20, define o dever dessas instituições de comunicar ao Bacen a ocorrência de incidentes. 

Time BL Consultoria Digital – Direito Digital e Análise Regulatória

Este artigo “Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais foi escrito Por Rodrigo Glasmeyer e MSc. Graziela Brandão . Conheça o BL Consultoria Digital, acesse aqui!

Para Assessoria Jurídica e implementação do projeto de adequação às leis de Proteção de Dados (LGPD, GDPR e CCPA) contate agora os nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (LGPDGDPR & CCPA),  Aspectos Regulatórios e Compliance Digital de novas tecnologias e Due Diligence para Startup, Fintech e HealthTech, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:

  • Assessoria para Mapeamento de Dados (Data Mapping)
  • Assessoria para Mapeamento de Legislação Setorial
  • Análise Regulatória da Coleta de Dados
  • Revisão e Elaboração de Políticas de Privacidade
  • Assessoria de Implementação de Garantia e Direitos de Usuários
  • Revisão e Adequação de Contratos
  • Manual de Procedimentos de Privacidade e Proteção de Dados
  • Assessoria jurídica para realização de transferência internacional de dados
  • Política de Segurança da Informação (PSI)
  • Plano de Respostas a Incidentes
  • Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.


Compartilhe!