K

kompar.ti

Plano de Resposta às Requisições dos Titulares de Dados e de Incidentes de Segurança (vazamentos)

Com base nas diretrizes da Lei Geral de Proteção de Dados (LGPD) e nas normativas da Autoridade Nacional de Proteção de Dados (ANPD) presentes nas fontes, elaborei um Plano Estruturado, dividido em duas frentes: Atendimento às Requisições dos Titulares e Resposta a Incidentes de Segurança (Vazamentos).

Imagem de incidente cibernético e a equipe de técnicos atuando

Ambos os processos devem ser liderados ou supervisionados pelo Encarregado de Dados (DPO).

PARTE 1: Plano de Resposta às Requisições dos Titulares de Dados

A LGPD garante aos titulares uma série de direitos (Art. 18 a 20), como acesso, correção, eliminação e portabilidade. Para atendê-los de forma eficiente, a empresa deve seguir este fluxo:

1. Recebimento e Validação de Identidade:

  • Canais Facilitados: Disponibilize um canal gratuito e de fácil acesso (ex: formulário no site, e-mail do DPO) para o recebimento das solicitações.

  • Validação: Antes de fornecer qualquer informação ou alterar dados, confirme a identidade do solicitante para evitar o vazamento de dados para fraudadores.

2. Triagem e Direcionamento Interno:

  • Identifique a natureza do pedido utilizando palavras-chave para acionar o setor responsável internamente:

  • Consultas/Acesso: “Quero cópia do meu cadastro”, “Quais informações vocês têm?”

  • Correção: “Atualizar dados”, “Corrigir e-mail errado”.

  • Revogação/Eliminação: “Cessar recebimento”, “Não autorizo mais o uso”, “Apagar meus dados”.

  • Oposição: “Não concordo com a utilização para este fim”.

3. Execução e Prazos:

  • Acesso Simplificado: A confirmação de existência de tratamento ou acesso simplificado deve ser providenciada imediatamente.

  • Declaração Completa / Demais Direitos: O fornecimento de declaração completa (com origem dos dados, critérios e finalidades) ou o atendimento de outras demandas deve ocorrer no prazo de até 15 dias.

  • Agentes de Pequeno Porte (ATPPs): Caso a empresa se enquadre como ATPP, ela possui o prazo em dobro para o atendimento dessas solicitações.

4. Comunicação a Terceiros e Exceções (Recusas Justificadas):

  • Se os dados tiverem sido compartilhados com operadores ou parceiros, a empresa deve informá-los imediatamente sobre a correção, eliminação ou bloqueio para que repitam o procedimento.

  • Atenção às retenções legais: O direito à eliminação não é absoluto. A empresa pode e deve recusar a exclusão caso o dado precise ser mantido para o cumprimento de uma obrigação legal ou regulatória (ex: dados trabalhistas guardados por 5 anos, dados previdenciários por 10 anos). Nesses casos, o controlador deve enviar ao titular uma resposta justificando os motivos de fato ou de direito que impedem a adoção imediata da providência.

PARTE 2: Plano de Resposta a Incidentes de Segurança (Vazamentos)

Em caso de evento adverso que comprometa a confidencialidade, integridade ou disponibilidade dos dados (ex: ataque ransomware, perda de pendrive, vazamento de senhas), siga o protocolo abaixo, composto por 4 fases essenciais:

Fase 1: Detecção e Contenção Imediata

  • 1. Acionamento do Comitê de Crise: Assim que houver ciência (ou suspeita confirmada) do incidente, convoque a equipe multidisciplinar (TI, Jurídico, Comunicação, Encarregado de dados ou DPO).

  • 2. Contenção da Vulnerabilidade: Isole sistemas, bloqueie credenciais comprometidas e evite que a exploração continue.

  • 3. Preservação de Evidências: Salve logs, atas de reunião e registre todas as ações tomadas. Isso é fundamental para a cadeia de custódia forense e para comprovar a diligência da empresa (accountability).

Fase 2: Avaliação de Riscos

O Comitê deve mapear a extensão do vazamento:

  • Quais foram os dados afetados (comuns, sensíveis, financeiros)?.

  • Qual o volume de dados e o número de titulares envolvidos (há crianças ou idosos)?.

  • Score de Gravidade: Analise se o incidente pode causar risco ou dano relevante aos titulares (ex: risco de fraudes, discriminação, roubo de identidade). Apenas incidentes com risco relevante exigem notificação formal externa.

Fase 3: Comunicações Obrigatórias

Se for constatado risco ou dano relevante, realize as comunicações:

  • 1. À ANPD: A comunicação deve ser feita via sistema eletrônico no prazo de 3 dias úteis contados do conhecimento do incidente. Se não for possível detalhar tudo imediatamente, faça uma comunicação preliminar e complemente as informações de forma fundamentada no prazo de 20 dias úteis. (Nota: ATPPs possuem prazo em dobro, exceto se houver risco à integridade física/moral ou segurança nacional.

  • 2. Aos Titulares Afetados: Utilize linguagem simples e contate-os diretamente (e-mail, SMS, carta). Se a comunicação individual for impossível, faça uma divulgação ampla (ex: site, redes sociais) visível por no mínimo 3 meses. Informe o que aconteceu, quais dados vazaram, as medidas de contenção tomadas e o contato do DPO.

  • 3. A Outros Entes (se aplicável): Acione seguradoras (seguro cibernético), autoridades regulatórias setoriais (Bacen, Susep, Anatel, Senacon) e parceiros de negócio que compartilham a base afetada. Prepare notas reativas para a imprensa e “scripts” de SAC para orientar os consumidores sobre como se proteger.

Fase 4: Documentação Final e Mitigação (Pós-Crise)

  • Registro Interno de Incidentes: A ANPD determina que, independentemente de o incidente ter sido reportado ou não, a organização deve documentar e arquivar o registro do ocorrido (com descrição, dados afetados, avaliação de risco e motivos para eventual não-comunicação) pelo prazo mínimo de 5 anos.

  • Medidas Corretivas: Após contenção, analise a causa raiz (com apoio de relatório forense) e implemente melhorias tecnológicas ou processuais (ex: troca de senhas, novos treinamentos, ajustes de controle de acesso) para evitar reincidências.

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: