top of page

Política de Cookies

PLANO DE RESPOSTA A INCIDENTES COM DADOS PESSOAIS
A Lei nº 13.709/2018, Lei Geral de Proteção de Dados – LGPD, tem como um de
seus
pilares centrais a implementação de medidas de Segurança da Informação que
podem trazer às entidades públicas e privadas, uma cultura de maior
conscientização na área. A LGPD considera que, mais grave do que sofrer um
ataque ou passar por um vazamento de dados, é não se prevenir e nem adotar as
medidas e práticas necessárias e possíveis para a proteção dos seus dados e de
todos os que são afetados por eventuais acessos não autorizados
A atividade de conformidade com as disposições da Lei Geral de Proteção de Dados
(LGPD) não se limita à implementação de medidas tecnológicas e padrões de
segurança. Abrange também a elaboração, manutenção e revisão de documentos
que não apenas asseguram a conformidade com a mencionada lei, mas também
contribuem para uma maior organização e otimização dos processos internos. Além
disso, essas medidas visam proteger a entidade, sua reputação, seus servidores,
usuários dos serviços prestados e parceiros.
Na Era Tecnológica, onde os computadores pessoais são amplamente populares e o
acesso à internet é facilmente alcançável, observamos uma crescente dependência
de processos digitais para a manutenção de modelos de negócios e o cumprimento
de obrigações legais. Embora a informatização desses processos proporcione
praticidade, redução de custos e economia de tempo, ela também acarreta riscos de
segurança que não podem ser negligenciados. Com tempo e recursos adequados,
qualquer sistema pode ser vulnerável a comprometimentos.
Considerando esses aspectos, torna-se essencial a elaboração de estratégias e
planos para o controle de danos, destacando a importância dos Planos de
Respostas a Incidentes de Segurança em Dados Pessoais. Incidente de segurança
é definido como uma violação da segurança que, de modo acidental ou ilícito, resulta
na destruição, perda, alteração, divulgação ou acesso não autorizados a dados
pessoais transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento.
A Resposta a Incidentes é o processo que delineia como uma organização deve
lidar
com incidentes de segurança, seja um ataque cibernético, violação de dados,
presença de aplicativos maliciosos (como vírus) ou violações das políticas e padrões
de segurança da entidade, entre outros. O objetivo é minimizar os danos causados
pelo incidente, reduzir o tempo de ação e os custos de recuperação.
O Plano de Respostas a Incidentes (PRI) constitui um documento interno que deve
ser amplamente familiarizado por todos os servidores, funcionários e colaboradores.
Ele detalha as medidas a serem adotadas no caso de um Incidente de Segurança

2/2
em Dados Pessoais. O GRUPO URLA, deve observar cuidados adicionais devido à
legislação que confere proteção diferenciada aos dados sensíveis.
Para ajudar a esclarecer essa dúvida, apresentamos a seguir algumas informações
relevantes sobre comunicação de incidentes de segurança de dados pessoais.
1. O que fazer em caso de um incidente?
O art. 47 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina
que os agentes de tratamento de dados pessoais devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados pessoais. Alinhado
a isso, os Controladores e Operadores de Dados devem:

  • Avaliar internamente o incidente – natureza, categoria e quantidade de

titulares de dados afetados, consequências concretas e prováveis. Há um
formulário específico de avaliação constante do site da Autoridade Nacional
de Proteção de Dados;

  • Comunicar ao Encarregado de Dados (art. 5º, VIII da LGPD);

  • Comunicar ao Controlador, se você for o Operador;

  • Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante

aos titulares (art. 48 da LGPD); e

  • Elaborar documentação com a avaliação interna do incidente, medidas

tomadas e análise de risco, para fins de cumprimento do princípio de
responsabilização e prestação de contas (art. 6º, X da LGPD).
2. O que comunicar à Autoridade Nacional de Proteção de Dados?
Em um primeiro momento recomenda-se prudência nos processos de comunicação,
avaliando-se os riscos, impactos e reflexos do incidente. Isso torna de suma
importância o mapeamento dos dados e a análise de criticidade dos riscos.
A existência de um plano formal de resposta a incidente é importante também para
direcionar as ações de forma segura e estruturada. As informações devem ser
comunicadas de forma clara, objetiva e com detalhamento adequado:

  • Informar se a comunicação é preliminar, parcial ou completa (conclusiva).

  • Informar o nome do Encarregado de Dados para contato.

  • Descrever um breve resumo do incidente.

  • Declarar informações sobre o incidente, data, hora da percepção,circunstâncias, classificação (perda, roubo, vazamento, etc.).

  • Descrever os dados pessoais e informações afetadas, como natureza econteúdo dos dados pessoais, categoria e quantidade de dados e de titularesafetados.

  • Informar possíveis consequências e reflexos sobre os titulares dos dadosafetados.

  • Relatar medidas de segurança, técnicas e administrativas preventivas e demitigação de riscos existentes.

3/2

  • Resumir as medidas implementadas até o momento para controlar e conter os

possíveis danos.

  • Apresentar outras informações aos titulares para proteger seus dados ou

prevenir possíveis danos.
No momento da comunicação preliminar deverá ser informado à ANPD que serão
fornecidas mais informações posteriormente.
3. Contenção, Erradicação e Recuperação

  • Os responsáveis pelos sistemas/processos afetados devem ser notificados

para fornecerem suas considerações sobre os procedimentos de resposta,
contenção e erradicação.

  • O propósito das ações de contenção e erradicação é mitigar os danos,

isolando os sistemas afetados para prevenir danos adicionais. Nesse estágio,
se necessário e de acordo com as devidas autorizações, pode ocorrer o
desligamento de sistemas completos ou de funcionalidades específicas, com
a divulgação de avisos de indisponibilidade para manutenção. Todas as
precauções devem ser tomadas para não comprometer evidências cruciais
que possam ser utilizadas para identificar a autoria, origem e métodos
empregados na violação de segurança;

  • Caso o incidente não esteja relacionado a recursos computacionais, mas

principalmente a atividades humanas, os procedimentos podem incluir
sindicância administrativa outras medidas previstas na legislação aplicável.

  • Pode ser necessário desenvolver e implementar atualizações de aplicativos

ou do sistema operacional, além da elaboração de novas rotinas processuais.
4. Em que situação será realizado um comunicado ao titular dos dados?
Sempre que for julgado que o incidente de segurança possa acarretar um risco ou
dano relevante aos titulares afetados, sendo que outros critérios deverão ainda ser
regulados pela ANPD.
Atenção especial deverá ser dada ao incidente que envolver dados sensíveis,
titulares com vulnerabilidade, menores de idade ou que possam causar danos
financeiros ou de caráter moral, como por exemplo: discriminação, violação do
direito à imagem, reputação, roubo de identidade etc.
5. Qual o prazo para comunicar um incidente de segurança para a Autoridade
Nacional de Proteção de Dados e para o mercado?
A LGPD determina que a comunicação do incidente de segurança seja feita em
prazo razoável (art. 48, § 1º), sem citar métricas específicas.
A administração deve entender que, embora não tenha havido ainda
regulamentação nesse sentido, a realização da comunicação com brevidade
demonstrará transparência, responsabilidade e boa-fé, além disso, poderá ser
considerada como atenuante em eventual fiscalização e reparação.

4/2
Entendemos como um prazo aceitável, que após a ciência do incidente e havendo
risco relevante, a ANPD seja comunicada até o prazo de 2 dias úteis.
Importante observar que o PRI – Plano de Resposta a Incidente ou gerenciamento
de risco deve ser acionado e mantido até a contenção do incidente e retomada da
normalidade.
6. Após o incidente - Elaboração de relatório final do incidente e revisão dos
procedimentos:
Após o incidente, a elaboração de um relatório final torna-se essencial. Esse
relatório não apenas comprova as medidas implementadas pelo GRUPO URLA, mas
também possibilita compreender as causas do incidente, avaliar a aderência e
efetividade do Plano de Respostas a Incidentes, além de analisar a atuação dos
responsáveis.
Neste contexto, é fundamental mencionar, de forma clara e objetiva, sem exagero de
expressões técnicas, as condutas que foram e serão implementadas para eliminar
ou minimizar os efeitos do incidente. Isso pode incluir ações como o contato com as
autoridades policiais, a determinação de troca de senhas pelos usuários, a
atualização de sistemas e servidores, entre outras medidas específicas adotadas
Rio Claro, 11 de julho de 2024.
GRUPO URLA.

bottom of page