Atuando como uma medida obrigatória a ser cumprida por todas as instituições que lidam diretamente com dados pessoais de titulares, o Plano de Resposta a Incidentes (PRI) é uma das determinações estipuladas pela Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020.
Ainda que esteja em total conformidade com o regulamento, as empresas devem investir na construção de um plano que será aplicado em casos de acidentes envolvendo dados, como vazamentos ou erros dos sistemas.
A estruturação prévia do planejamento possibilita um retorno mais adequado para a situação e mitiga riscos maiores para a empresa, como a aplicação de multas por parte da Autoridade Nacional de Proteção de Dados (ANPD).
Uma das principais dúvidas sobre o plano é como estruturá-lo e de que forma colocá-lo em prática. Detalhamos mais sobre a importância do instrumento, sobre o que diz a legislação e de que forma aplicá-lo no dia a dia da empresa.
O que diz a LGPD?
De início, é preciso que as instituições compreendam sobre os incidentes de dados e como podem ocorrer. Um incidente de dados é encarado desta forma quando um problema ou ação incomum envolvendo dados dos titulares é vista, ou seja, quando acontece algum tipo de uso não autorizado, destruição, perda, exposição, alteração, vazamento ou ataque.
No capítulo VII, Seção I, artigo 46 da Lei nº 13.709/2018 é destacada a necessidade de aplicação de medidas de segurança, técnicas ou administrativas para proteção de ações ilícitas ou acidentais. Já no 48 é possível ver, com detalhes, a função dos controladores em meio a um caso. Segundo o regulamento, o controlador tem a responsabilidade de:
- “comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
Dessa forma, devem atuar com transparência e informar em seus canais oficiais o ocorrido, para que o titular possa entender de que forma foi afetado e como a empresa está atuando para voltar à normalidade.
A construção do Plano de Resposta a Incidentes (PRI), portanto, é a definição das medidas que vão garantir o seguimento destes artigos por parte de todos colaboradores de uma instituição, seja ela privada ou pública.
Como criar?
Para definir o processo seguido pela instituição em casos de incidentes é preciso seguir alguns passos e responder algumas perguntas, como: “Quem fará parte do comitê de crise?”, e ainda, “Quem será o encarregado de dados responsável?”.
O plano deve levar em consideração as ações a serem desempenhadas pelas empresas antes, durante e depois do incidente. Previamente ao acontecimento é relevante já definir as respostas para cada caso de violação assim como preparar os documentos a serem enviados à ANPD, titulares e imprensa.
Durante o incidente é necessário que haja comprovação da movimentação da empresa para redução dos danos. A atuação para encontrar o motivo ou responsável pelo acontecimento é necessária, assim como a escolha por tecnologias que possam facilmente reverter o problema. A contratação de um DPO é obrigatória, de acordo com a lei, sendo ele um dos grandes responsáveis pelas movimentações realizadas durante o incidente.
Ao final, um relatório para definição das medidas realizadas é obrigatório. Dentro dele estarão as principais informações sobre a gravidade do caso, as ações técnicas aplicadas, as projeções para evitar que casos do tipo ocorram no futuro e mais. A comunicação é a última etapa de um processo de incidente.
Por fim, é possível visualizar os benefícios do estabelecimento prévio das etapas a serem seguidas, alguns deles sendo:
- Manutenção da reputação;
- Redução de custos;
- Redução de problemas legais;
- Construção da confiança dos consumidores.
Auxílio de especialistas
Como atestado, incidentes envolvendo dados de titulares podem ocorrer. A fim de evitar complicações maiores é importante que a instituição esteja preparada para agir. Devido a quantidade de tópicos a considerar é comum que tenham dúvidas de como iniciar o processo.
O suporte de um time próprio para conformidade ou de um profissional especializado, como é o caso de Encarregado de Dados (DPO), é extremamente importante para atingir o objetivo.
A LGPD Brasil está presente no mercado para auxiliar as empresas durante a criação do PRI, assim como também pode ajudar durante outros momentos da adequação à lei.
A partir das consultorias personalizadas o time consegue visualizar a fase em que o cliente está e propor as ações necessárias para o bom tratamento das informações. Através do site é possível visualizar mais sobre a atuação do time e tirar as dúvidas.
