K

kompar.ti

Procedimento estruturado em fases para a comunicação de incidentes de segurança

Com base nas diretrizes da Lei Geral de Proteção de Dados (LGPD), na recente Resolução CD/ANPD nº 15/2024 (Regulamento de Comunicação de Incidente de Segurança) e nas melhores práticas de governança e resposta a crises, elaborei um procedimento estruturado em fases para a comunicação de incidentes de segurança.

Este guia prático orientará a atuação do Encarregado (DPO) e do Comitê de Crise na notificação à ANPD, aos titulares e aos demais órgãos pertinentes.

Um comitê de crise de um incidente de segurança da informação formado por três homens e trê mulheres preocupados com o incidente

FASE 1: Avaliação e Preparação Inicial

Antes de redigir qualquer comunicado, a organização deve estruturar sua resposta interna para garantir que as informações transmitidas sejam precisas:

  1. Acionamento do Comitê de Crise: Convoque imediatamente o comitê multidisciplinar, que deve envolver o DPO, Segurança da Informação/TI, Jurídico, Relações Públicas/Comunicação e Recursos Humanos, entre outros. No caso de pequenas empresas ou organizações, vou escrever um outro artigo tratando deste público. Pode ser necessário acionar parceiros técnicos para apoiar no incidente e se for o caso, Operadores de Dados que a empresa tenham contratos e parcerias.

  2. Identificação do Papel (Controlador x Operador): A obrigação legal de notificar a ANPD e os titulares recai sobre o Controlador. Se a sua empresa for a Operadora, o primeiro e imediato passo é comunicar o incidente ao Controlador dos Dados. Nesse ponto, avaliar os contratos e Acordos de nível de serviço (SLA) com todas as empresas envolvidas.

  3. Avaliação de Risco e Gravidade: Avalie se o incidente pode acarretar risco ou dano relevante aos titulares (ex: fraude financeira, roubo de identidade, discriminação, vazamento de dados sensíveis ou de menores). Apenas incidentes confirmados (não meras suspeitas) e com potencial de dano relevante exigem notificação à ANPD e aos titulares.

  4. Comunicação à Seguradora (se aplicável): Caso a empresa possua seguro cibernético, notifique a seguradora imediatamente, respeitando os prazos rigorosos da apólice (que podem ser de poucas horas) para não perder o direito à indenização.

FASE 2: Comunicação à ANPD

A comunicação à Autoridade Nacional de Proteção de Dados deve ser feita pelo Controlador por meio de peticionamento eletrônico no sistema SEI da ANPD.

  1. Prazo: A comunicação deve ser realizada no prazo de 3 (três) dias úteis, contados a partir do conhecimento do incidente,. Nota: Agentes de Tratamento de Pequeno Porte (ATPP) possuem prazo em dobro, exceto se houver risco à integridade física/moral dos titulares ou à segurança nacional.

  2. Tipo de Comunicação: Se não for possível reunir todas as informações em 3 dias, envie uma comunicação preliminar. O controlador terá o prazo de 20 dias úteis para complementar as informações de maneira fundamentada.

  3. Conteúdo Obrigatório do Formulário à ANPD:

    • Descrição da natureza e categoria dos dados pessoais afetados.

    • Número de titulares afetados (discriminando crianças, adolescentes ou idosos, se aplicável).

    • Medidas técnicas e de segurança utilizadas antes e após o incidente.

    • Riscos relacionados ao incidente e possíveis impactos.

    • Motivos da demora (se a notificação não foi feita no prazo de 3 dias).

    • Medidas adotadas para reverter ou mitigar os efeitos.

    • Data da ocorrência e data do conhecimento pelo controlador.

    • Dados de contato do Encarregado (DPO) e identificação do Controlador/Operador,.

    • Descrição da causa principal do incidente (se já for possível identificar).

    • Nota: O Controlador pode solicitar à ANPD sigilo sobre informações que representem segredo comercial ou industrial.

FASE 3: Comunicação aos Titulares de Dados

A transparência com o titular é fundamental para mitigar danos e manter a confiança, devendo ser feita sempre que houver risco relevante.

  1. Formato e Canal: Deve ser feita de forma direta e individualizada (e-mail, SMS, carta, telefone). Caso seja impossível individualizar ou o volume seja excessivo, deve-se fazer uma comunicação indireta e ampla (aviso no site, aplicativo, redes sociais), que deve ficar visível por, no mínimo, três meses.

  2. Linguagem: Utilize linguagem simples, clara e de fácil entendimento, evitando jargões técnicos ou jurídicos complexos.

  3. Conteúdo Obrigatório do Comunicado aos Titulares:

    • O que aconteceu (descrição da natureza e categoria dos dados afetados).

    • Os riscos relacionados ao incidente e possíveis impactos para o titular.

    • Medidas técnicas e de segurança que a empresa utilizava e as medidas adotadas para reverter ou mitigar o dano.

    • Motivos da demora (se houver) e data do conhecimento do incidente,.

    • Contato do DPO e canais para que o titular tire dúvidas adicionais.

  4. Preparação do Atendimento (Script): Elabore um script para a equipe de atendimento ao consumidor (SAC) responder a perguntas comuns como: “Fui afetado?”, “Posso sofrer fraudes?”, “O que devo fazer para me proteger?”.

FASE 4: Comunicação ao Mercado, Imprensa e Órgãos Setoriais

Dependendo do setor de atuação da empresa, outras notificações legais são compulsórias,:

  1. Órgãos Reguladores Setoriais:

    • Bacen (Instituições Financeiras): Exige comunicação tempestiva de incidentes relevantes que configurem situação de crise.

    • Susep (Seguradoras): Prazo máximo de 5 dias úteis a partir do conhecimento do evento, detalhando extensão do dano e ações corretivas,.

    • Aneel (Setor Elétrico): Assim que o agente tiver ciência da dimensão de um incidente de maior impacto,.

    • Anatel (Telecomunicações): Notificação à Agência, demais prestadoras e usuários em caso de incidentes que afetem substancialmente a segurança das redes.

    • Senacon / Procon / Cadastro Positivo: Em caso de risco aos consumidores ou vazamento de banco de dados de crédito, o prazo é de 2 dias úteis ou “imediatamente” conforme a regulação de consumo.

  2. Mercado e Investidores (CVM): Se a empresa for de capital aberto (Sociedade Anônima), avalie a necessidade de publicar um Fato Relevante. Incidentes de segurança podem influir na decisão de investidores, exigindo comunicação imediata à bolsa de valores e à imprensa, de forma direta e objetiva,.

  3. Imprensa e Relações Públicas: O Comitê de Crise deve elaborar “Notas Reativas” para a imprensa. Caso a mídia ou os próprios cibercriminosos (em caso de ransomware) tornem o evento público, a empresa deve estar pronta para emitir seu posicionamento oficial.

  4. Parceiros de Negócio: Revise contratos vigentes. Muitas vezes há obrigação contratual de notificar parceiros (fornecedores ou clientes B2B) em prazos estritos caso as bases de dados compartilhadas sejam afetadas.

FASE 5: Documentação Interna (Accountability)

A organização deve comprovar sua diligência perante fiscalizações futuras.

  • Registro Obrigatório de Incidentes: Independentemente de o incidente ter sido comunicado à ANPD ou não (por não atingir o grau de risco relevante), a empresa deve obrigatoriamente registrar internamente o incidente (data, circunstâncias, dados afetados, avaliação de risco, medidas de correção e os motivos caso tenha decidido não notificar a ANPD). Este registro deve ser guardado por, no mínimo, 5 anos.

  • Relatório Forense: Mantenha arquivados os logs, atas de reunião e o relatório técnico pericial da investigação do incidente.

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: