A Lei Geral de Proteção de Dados (LGPD) tem sido fundamental para a construção de uma cultura de proteção de dados no país e contribuído para que casos de incidentes de segurança de dados sejam reduzidos.
Figurando na segunda posição dos países que mais recebem ataques cibernéticos da América Latina e Caribe e tendo em vista os casos de incidentes de dados registrados pela Autoridade Nacional de Proteção de Dados (ANPD), é relevante que o debate sobre o tema seja reforçado.
Empresas de diferentes portes e segmentos podem sofrer com os ataques aos dados, que devido a modernização das ferramentas, estão cada vez mais complexos e eficientes. Se atentar às medidas definidas pela lei e incluir ações adicionais pode oferecer uma camada a mais de proteção reduzindo os riscos associados aos ataques.
Entenda a situação atual dos casos documentados e as ações a serem tomadas para evitar as complicações maiores.
Casos atuais registrados
De acordo com dados da ANPD, autoridade responsável por fiscalizar e garantir a conformidade com a lei e que costuma monitorar e criar relatórios atualizados referentes ao assunto, mais de 600 casos de incidentes de segurança de dados foram documentados desde que a lei entrou em vigor, em setembro de 2020.
De janeiro a setembro de 2023 foi possível notar mais de 126 casos que foram comunicados à entidade, conforme destacou o jornal CNN. O tipo de incidente mais visualizado foi o sequestro de dados (ransomware) com transferência de informações.
As informações revelam que há ainda muito a ser feito. As empresas devem se empenhar para manter os dados que tratam seguros e os titulares devem se proteger ainda mais, especialmente nas redes sociais e no ambiente online, para que episódios similares sejam reduzidos.
Incidentes ainda podem ocorrer com as instituições que estão em conformidade total com a lei, mas por algum motivo interno (brechas não observadas, por exemplo) ou pela atuação de hackers e criminosos cibernéticos passaram por esta situação.
A atuação posterior ao incidente, ou seja, a resposta da empresa controladora é o que vai definir o tamanho do prejuízo e a atuação da ANPD, se precisará ou não seguir com sanções e multas.
Medidas contra incidentes
Um incidente de segurança é tido como um evento não programado e não autorizado que afeta os sistemas de computadores e compromete as informações pessoais e sensíveis. A depender do tipo de incidente o resultado pode ser variado, no entanto, os titulares acabam sendo os grandes afetados por terem seus dados expostos e sua privacidade ferida.
Existem diversos tipos de incidentes de segurança da informação, como:
- Instalação não autorizada de softwares;
- Roubo de aparelhos com informações confidenciais;
- Sequestro de dados (ransomware);
- Contaminação de sistemas e ferramentas (vírus).
Dessa forma, é recomendável que as instituições privadas atuem de forma cautelosa e coloquem algumas medidas em prática. Proteger os aplicativos e sites das empresas com dupla verificação, limitar o acesso aos dados, atualizar softwares e fazer uso de inteligências artificiais para análise de irregularidades são algumas das possíveis medidas a serem implementadas. Além delas é válido citar outras ações básicas:
- Suspeitar de links e e-mails desconhecidos;
- Realizar trocas de senhas durante determinado período de tempo;
- Realizar testes constantes;
- Informar e realizar treinamentos para que os colaboradores estejam cientes das medidas;
- Se atentar com a forma de descarte de aparelhos antigos.
Caso um evento venha a ocorrer a atuação de um encarregado passa a ser fundamental. A empresa controladora deverá analisar a gravidade do incidente, reportar ao DPO que informará aos titulares e a Autoridade. Além disso, será preciso “elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).”
Adequação a lei
Devido a sua abrangência, estar em conformidade com a Lei nº 13.709/2018 pode ser um desafio para algumas empresas, especialmente as de pequeno porte que possuem menos recursos para realizar a inserção das medidas.
Dessa forma, o suporte de um time especializado e a contratação de um encarregado de dados (DPO) é essencial para a adequação. O olhar de profissionais instruídos impede que situações de incidentes cheguem a acontecer, assim como prepara as empresas para o momento de ataque, apesar das ações para evitá-lo.
A LGPD Brasil atua de maneira consultiva a fim de auxiliar seus clientes com a inserção da LGPD e com o entendimento sobre as outras leis de proteção de dados que podem afetá-lo, como é o caso da GDPR. Através de consultorias personalizadas conseguem visualizar a situação atual da empresa e propor medidas condizentes.
Confira mais informações sobre a consultoria jurídica oferecida e aproveite para tirar as possíveis dúvidas através do site.
