Com base nos materiais fornecidos, especialmente aos ensinamentos dos professores e professoras do Curso de Data Protection da Escola Superior da Advocacia da OAB-SP e dos Guias da ANPD, o procedimento para a elaboração de um Plano de Resposta a Incidentes com Dados Pessoais deve ser estruturado para garantir agilidade, mitigação de danos e cumprimento das obrigações legais ( como a notificação à ANPD e aos titulares).
Abaixo estão os procedimentos essenciais para montar esse plano, divididos por etapas estratégicas:
1. Fase de Preparação e Governança
O plano deve estabelecer a priori quem agirá e como a organização estará estruturada antes mesmo de um incidente ocorrer.
Formação do Comitê de Crise: O plano deve definir a convocação de um grupo multidisciplinar responsável por conduzir a resposta. Este comitê deve incluir, no mínimo, representantes das áreas de Tecnologia/Segurança da Informação, Jurídico/Compliance e Comunicação/Relações Públicas.
Se o incidente afetar dados de colaboradores ou consumidores, as áreas de Recursos Humanos e Atendimento ao Consumidor também devem ser envolvidas.
Definição do papel do Encarregado ou DPO: O plano deve explicitar que o Encarregado deve ser comunicado imediatamente após a detecção do incidente, pois ele atua como canal de comunicação entre o controlador, os titulares e a ANPD.
Integração com a Política de Segurança: O plano deve estar alinhado à Política de Segurança da Informação (PSI), que prevê controles como cópias de segurança (backups), uso de senhas e gestão de vulnerabilidades.
2. Procedimentos de Identificação e Análise
O plano deve descrever os passos para entender a extensão do problema assim que ele é detectado.
Identificação da Causa Raiz: O plano deve prever rotinas técnicas para descobrir a origem do incidente (ex: falha humana, ataque externo, ransomware), evitando que ele volte a ocorrer logo após a contenção.
Mapeamento da Exposição e Impactos Transfronteiriços: Deve-se determinar quais bases de dados foram comprometidas e se houve exposição de dados pessoais, sensíveis ou corporativos, além de verificar se o incidente envolve fluxo de dados para outros países.
Cálculo do Score de Gravidade: O plano deve conter uma metodologia para classificar a gravidade do incidente (baixo, médio, alto ou muito alto). Isso envolve analisar o contexto (tipo de dado), a facilidade de identificação do titular e as circunstâncias (perda de confidencialidade, integridade ou disponibilidade).
Essa classificação é vital para decidir sobre a necessidade de notificação.
3. Procedimentos de Contenção e Mitigação
O plano deve detalhar as ações imediatas para estancar o vazamento ou ataque.
Contenção da Vulnerabilidade:Estabelecer medidas técnicas para fechar a brecha de segurança explorada.
Preservação de Evidências: O plano deve instruir a equipe a documentar todos os passos e preservar logs e provas desde o início. Isso é essencial para o princípio da accountability (prestação de contas) e para futuras defesas ou investigações.
Varredura da Web: Incluir procedimentos para monitorar a surface web e a deep web em busca de dados vazados, visando sua remoção ou identificação dos infratores.
Decisão sobre Extorsão (Ransomware): O plano deve conter diretrizes sobre como lidar com pedidos de resgate, ponderando riscos de pagar (dados corrompidos, novos ataques) versus não pagar (paralisação, exposição de dados).
4. Procedimentos de Comunicação e Notificação
Esta é uma das partes mais críticas sob a ótica da LGPD. O plano deve ter templates e fluxos claros de decisão.
Critérios para Notificação: O plano deve estabelecer que a comunicação à ANPD e aos titulares é obrigatória se houver risco ou dano relevante. Fatores como dados sensíveis, volume de dados, dados de vulneráveis (crianças) e potencial para fraudes ou discriminação aumentam a necessidade de notificação.
Prazo: O plano deve fixar a meta de comunicação em 2 dias úteis contados da ciência do incidente, conforme orientação atual da ANPD.
Conteúdo da Comunicação: O plano deve listar as informações obrigatórias na notificação à ANPD, tais como: descrição da natureza dos dados, medidas de segurança utilizadas, riscos relacionados, motivos de eventual demora na comunicação e medidas de mitigação adotadas.
Comunicação ao Mercado e Titulares:
Se for empresa de capital aberto, avaliar a necessidade de comunicar Fato Relevante.
Preparar scripts de atendimento para responder dúvidas dos consumidores (quais dados vazaram, riscos de fraude, etc.).
Elaborar notas à imprensa (reativas) para preservar a reputação.
5. Procedimentos Pós-Incidente e Melhoria Contínua
O plano não termina com a contenção; ele deve prever o aprendizado.
Relatório Forense: Elaboração de um documento técnico detalhando o ocorrido, evitando linguagem excessivamente técnica para que possa ser usado juridicamente.
Medidas Jurídicas: Avaliar a necessidade de ações para remoção de conteúdo ou identificação de ofensores (quebra de sigilo de IP).
Lições Aprendidas: O plano deve exigir uma reunião final do comitê para revisar o que falhou (ex: falta de treinamento, mapeamento desatualizado) e atualizar as políticas e o próprio plano de resposta.
Acionamento de Seguro: Se houver seguro cibernético, o plano deve indicar o momento exato e os prazos para acioná-lo.
Resumo do Fluxo de Decisão no Plano
O plano deve conter um fluxo lógico, como:
1. Detectou incidente? -> Confirme quais dados foram afetados.
2. São dados pessoais? -> Se sim, avalie se há risco ou dano relevante.
3. Há risco relevante? -> Se sim, documente e notifique ANPD e titulares. Se não, apenas documente internamente para fins de accountability.
