Incidentes de Segurança – Planejamento e Pronta Resposta
Em fevereiro de 2022, a gigante do varejo brasileiro Americanas S.A. informou que, por “questões de segurança”, após detectar um “acesso não autorizado”, suspendeu, preventiva e proativamente, os sites e os aplicativos de compra das marcas Americanas, Submarino e Shoptime. Os dois primeiros saíram de operação ainda na madrugada de domingo (20); o Shoptime, no início da tarde de segunda (21).
A Americanas não divulgou o motivo desta suspensão. Informou apenas que identificou um “acesso não autorizado”, que poderia ser caracterizado como um possível ataque hacker, mas que não foi confirmado.
Segundo comunicado à imprensa, “A Americanas acionou prontamente seus protocolos de resposta assim que identificou acesso não autorizado. A companhia atua com recursos técnicos e especialistas para avaliar a extensão do evento e normalizar com segurança o ambiente de e-commerce o mais rápido possível”.
A situação, no entanto, repercutiu negativamente entre investidores e, como resultado, os papéis da companhia recuaram 6,55% na Bolsa, chegando a R$ 31,51 no fim do dia. Com a queda nas ações, o grupo perdeu quase R$ 2 bilhões em valor de mercado somente nesta segunda. Isto sem contar as vendas que deixaram de ser realizadas enquanto os canais virtuais de comercialização permaneceram fora do ar.
Incidentes como esse ocorrido com a Americanas estão se tornando cada vez mais frequentes no mundo todo e também no Brasil. Em agosto de 2021, por exemplo, a plataforma de vendas da Lojas Renner ficou fora do ar por três dias. No início de outubro do mesmo ano, a operadora de turismo CVC teve a sua operação paralisada por 15 dias. A empresa de exames laboratoriais Fleury também foi vítima.
De acordo com o estudo da seguradora Allianz (“Allianz Risk Barometer“), 64% dos executivos brasileiros acreditam que os riscos cibernéticos são a maior ameaça para os negócios em 2022.
Então o que fazer diante de um incidente de segurança?
Primeiramente, é importante entendermos o que é um incidente de segurança. A Lei Geral de Proteção de Dados – LGPD não traz uma definição clara do que seria um incidente de segurança, porém, a Autoridade Nacional de Proteção de Dados – ANPD esclarece, em seu FAQ, que um incidente de segurança com dados pessoais “é qualquer evento adverso confirmado, relacionado a violação de segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
A LGPD (art. 47), por outro lado, determina que os agentes de tratamento de dados – o controlador ou o operador – são responsáveis por garantir a segurança dos dados, a fim de evitar danos. Por isso, devem estar prontos para agir imediatamente e mitigar os potenciais riscos.
Para gerar essa prontidão de resposta aos incidentes de segurança, é preciso que todos dentro da organização tenham conhecimento de como e quando agir diante de uma suspeita ou confirmação de um incidente. Uma maneira disso ocorrer é a construção de um plano de ação que estabeleça previamente procedimentos e atribuições. Este plano de ação é comumente conhecido como Plano de Resposta a Incidentes.
Diante da suspeita de um incidente de segurança, a vítima (controlador ou operador) deve iniciar imediatamente uma investigação interna para avaliar a probabilidade de ocorrência de risco ou dano relevante para os titulares. Essa análise considera a natureza, categoria e quantidade de titulares de dados afetados, a categoria e quantidade dos dados afetados e as consequências, concretas e prováveis.
Apesar de a LGPD não trazer um critério claro para a análise de risco, a leitura do texto legal revela que a probabilidade de risco ou dano relevante para os titulares será maior quando o incidente envolver dados sensíveis ou de pessoas em situação de vulnerabilidade, incluindo crianças e adolescentes, ou quando tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
Essa calibração do risco determinará as ações futuras do controlador. De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
| Análise do Risco | Medidas a serem tomadas |
| SEM RISCO RELEVANTE | O incidente de segurança deve ser anotado nos registros das atividades de tratamento de dados, especialmente o juízo de valor do por quê foi considerado irrelevante (REGISTRO) |
| COM RISCO RELEVANTE | Deve-se não só anotá-lo nos registros das atividades de tratamento de dados, mas, também, notificar os órgãos reguladores e o titular e ser ativado um plano de resposta à incidente de segurança (COMUNICAÇÃO E GESTÃO) |
| COM DANO RELEVANTE | Deve-se não só anotá-lo nos registros das atividades de tratamento de dados, mas também notificar os órgãos reguladores e o titular e o plano de resposta deve ser mais robusto frente ao do item anterior (COMUNICAÇÃO, GESTÃO E REPARAÇÃO) |
Essa avaliação deve ser feita com o maior rigor possível. Uma eventual e comprovada subavaliação dos riscos e danos por parte dos controladores poderá ser considerada descumprimento à legislação de proteção de dados pessoais, e, portanto, ensejar uma penalização.
Após a análise e identificado o risco, o art. 48, § 1º a LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável, porém não define a razoabilidade de tempo para tal notificação, que, sob o ponto de vista da ANPD, quando realizada, consubstanciará transparência e boa-fé do agente de tratamento e será considerada em eventual fiscalização.
Apesar de não regulamentado, a boa prática indica que a ANPD deverá ser comunicada o mais rápido possível (2 dias úteis) tão logo ocorra o conhecimento do evento adverso e, principalmente, havendo risco relevante. É importante, também, que essa comunicação ocorra ainda que houver dúvida sobre a relevância dos riscos e danos envolvidos.
Ainda de acordo com o art. 48, § 1º da LGPD, essa comunicação feita pelo controlador deve mencionar, no mínimo: (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Assim como foi feito com a ANPD, o controlador deve também providenciar a comunicação, em prazo razoável, aos titulares dos dados afetados, alertando-os do possível evento para que possam se prevenir contra as possíveis consequências do incidente. Esse comunicado, que deve ser claro e direto, pode se dar por meios diversos (mensagens diretas, e-mails, SMS, banners, notificações em sites, comunicações postais ou anúncios), e deve informar ao titular dos dados afetados sobre a natureza do incidente, a descrição das prováveis consequências e a descrição das medidas tomadas ou propostas pelo responsável pelo tratamento para lidar com o incidente.
As consequências para os agentes de tratamento de dados que não garantirem a segurança de dados pessoais pelos quais se responsabilizam são bastante sérias. Por esta razão, é necessário que as empresas atuem em duas frentes: planejamento e pronta resposta. É imprescindível que sejam implementadas medidas preventivas, tanto técnicas como organizacionais, que evitem a ocorrência de incidentes. Ao mesmo tempo, é fundamental que, diante de uma suspeita ou da constatação de um incidente, execute-se o plano de resposta imediatamente, mitigando os riscos e atenuando os danos possíveis.
Por Antônio Augusto Starling – Direito Digital, Proteção de Dados e Compliance