O que fazer se houver um vazamento de dados na minha empresa?

Empresas digitais operam todos os dias tratando uma enorme quantidade de dados, com um fluxo muito intenso de coleta e tratamento, sendo boa parte desse tratamento realizado por desenvolvedores em softwares (internos ou externos). Mas pode acontecer um vazamento de dados na minha empresa.

Portanto, é natural que possam ocorrer falhas.

Mas isso não é desculpa para descuidos. Ao contrário, é motivo para atenção e proteção redobrada.

Um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais.

Como exemplo, podemos citar o acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita que possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

O art. 47 da Lei Geral de Proteção de Dados determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

Portanto, nosso foco hoje é em demonstrar, de forma simples, como isso pode ser feito por sua empresa.

Lidando com o vazamento de informações: como evitar que isso aconteça na sua empresa

Os incidentes podem ocorrer de duas formas, geralmente: por falha humana ou falha tecnológica.

E ainda tem uma terceira possibilidade, excepcional, que são casos de hackers maliciosos. No entanto, vamos focar nas possibilidades mais recorrentes.

Nos casos em que a causa do vazamento for falha humana, a forma mais eficaz de prevenir é o estabelecimento de uma cultura organizacional dentro da empresa.

Com a devida instrução a todos os colaboradores, principalmente os desenvolvedores e equipe de tecnologia, sobre a conscientização de privacidade e segurança de dados.

Em conjunto com essas ações de conscientização, é essencial também a segurança reforçada para o acesso ao sistema interno da empresa, com implementação de senhas com nível alto de segurança e firewallsinternos.

Essas medidas são formas de tornar o acesso ao usuário do profissional no sistema interno da empresa seja extremamente privado e dificilmente violado, visto que os colaboradores realizam tratamento de dados pessoais.

No caso de falhas no software interno ou externo no vazamento de dados na minha empresa, é recomendado mais cautela, visto que o programa utilizado é a estrutura de suporte da plataforma, pois é onde os dados são armazenados e tratados.

O que a LGPD exige que seja feito em caso de incidentes de dados?

No art. 48 da LGPD, é estabelecido um rol de informações que deve ser fornecido à Autoridade Nacional de Proteção de Dados – ANPD em caso de incidentes de dados. Quais sejam:

a descrição da natureza dos dados pessoais afetados;
as informações sobre os titulares envolvidos;
a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
os riscos relacionados ao incidente;
os motivos da demora, no caso de a comunicação não ter sido imediata; e
as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Todos os incidentes, ao serem identificados e diagnosticados, devem ser encaminhados à ANPD com essas informações para a apuração do ocorrido através do formulário disponível no próprio site da autoridade.

É importante lembrar que, sempre que o incidente de segurança acarretar um risco ou dano relevante aos titulares afetados, o titular precisa ser avisado também.

A recomendação da própria Autoridade Nacional é de que tais comunicações sejam realizadas em até 48 horas.

Documentos que vão ajudar a proteger sua empresa em caso de incidentes

No Programa de Governança em Privacidade, há dois documentos que muitas empresas subestimam, mas que têm muito uso prático: a Política de Segurança da Informação e o Plano de Resposta a Incidentes.

Na ocorrência de incidentes com dados, é essencial que o jurídico e a equipe de tecnologia estejam alinhados para conter os danos dessa ocorrência.

Esses dois documentos estabelecem diretrizes jurídicas e operacionais que visam a minimização dos riscos em casos de incidentes e padrões de segurança para garantia da privacidade.

O Plano de Respostas a Incidentes envolve uma sequência estruturada de procedimentos que devem ser adotados: Comunicação; Identificação; Contenção; Erradicação; Recuperação.

Assim, as medidas adotadas pelo Controlador serão muito mais eficientes em tratar o problema do vazamento de dados na minha empresa.

A cultura de proteção de dados pessoais é essencial para sua empresa

De fato, imprevistos acontecem e até a mais avançada das tecnologias pode falhar.

Mas uma cultura empresarial que valoriza a segurança e privacidade dos dados dos titulares minimiza bastante a possibilidade de ocorrerem incidentes.

Isso porque seus procedimentos operacionais e administrativos terão como princípio a proteção de dados pessoais, reforçando as barreiras tecnológicas.

Ainda possui dúvidas sobre como proceder em caso de incidentes? Entre em contato com o nosso time.

Últimas postagens

Não registrar um funcionário: a bomba que você pode desarmar

3 de maio de 2022

Não registrar um funcionário é uma bomba relógio, e você sabe que vai explodir assim que eles saírem pela porta.

Quando utilizar o contrato de vesting em startups?

3 de maio de 2022

Quando utilizar o Contrato de Vesting em Startups como ferramenta para engajar os colaboradores que se destacam em sua startup?

O que é o Relatório de Impacto à Proteção dos Dados Pessoais?

4 de maio de 2022

Neste artigo vamos te explicar o que é e qual a finalidade do Relatório de Impacto à Proteção de Dados Pessoais – RIPD e porque ele é importante para sua empresa.