domingo, 28 de maio de 2023

Compliance de dados na administração e incidentes de segurança


Programa dos órgãos e entes públicos deve conter um 'plano de resposta a incidentes'

Um aspecto essencial para o programa de compliance de dados dos órgãos e entes públicos é o referente à forma de identificar, registrar e gerir os incidentes de segurança da informação que envolvam a violação de dados pessoais. Esta é a oitava dimensão de conformidade analisada pelo Tribunal de Contas da União (TCU), no Acórdão nº 1384/2022, no qual o órgão de controle apresentou diversos direcionamentos para que os órgãos públicos adequem sua atuação à proteção dos dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) define incidente de segurança como 'qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais'[1].

À partida, é importante lembrar que a Lei Geral de Proteção de Dados (LGPD) determina, em seu artigo 6º, que as atividades de tratamento de dados pessoais observem diversos princípios, dentre eles, o princípio da segurança (inciso VI), que preconiza a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e o princípio da prevenção (inciso VII), que estabelece a necessidade de adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Adiante, no seu Capítulo VII, que trata 'Da Segurança e das Boas Práticas', a lei geral determina que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (artigo 46). Em seguida, recomenda que o controlador, no intuito de bem observar os mencionados princípios da segurança e da prevenção, implemente um programa de governança em privacidade que abranja, dentre outros, 'planos de resposta a incidentes e remediação' (artigo 50, § 2º, inciso I, alínea g).

Nesse sentido, o programa de compliance de dados dos órgãos e entes públicos deve conter um 'plano de resposta a incidentes', ou seja, um documento que indique qual o tratamento será dado aos incidentes de segurança que envolvem a violação dos dados pessoais. Recomenda-se que neste documento sejam minimamente estabelecidas as responsabilidades e indicados os procedimentos que serão adotados em casos de incidentes com violação de dados pessoais, de forma a garantir respostas rápidas, efetivas e ordenadas sempre que tais casos ocorram.

Mas, na realidade, é necessário considerar que o referido plano de resposta a incidentes fará parte de um processo de gestão de incidentes de segurança da informação mais abrangente, que engloba também outros tipos de incidentes de segurança que podem não violar dados pessoais (e, logo, não atrair a adoção das ações específicas preconizadas pela LGPD).

Dessa forma, esse plano de resposta a incidentes que envolvam a violação de dados pessoais deverá ser elaborado em consonância com o macroprocesso de gestão de incidentes de segurança da informação adotado pelo órgão ou ente público, ou, noutro giro, o referido macroprocesso deverá ser revisitado para englobar estes aspectos específicos referentes aos casos em que ocorrer a violação de dados pessoais - especialmente porque o incidente envolvendo a violação de dados pessoais pode demandar respostas diferentes daqueles incidentes em que esse tipo de violação não ocorre. Assim é que, pois, esse macroprocesso de gestão de incidentes de segurança da informação do órgão ou ente público deve englobar também as especificidades referentes aos procedimentos para a identificação, o registro e o tratamento de violações de dados pessoais, inclusive com relação às respostas adequadas.

Recomenda-se, nessa esteira, que o órgão ou ente público adote um sistema de controle eficiente, isto é, um sistema de informação que auxilie a gestão de incidentes de segurança da informação que violem dados pessoais, que possibilite tanto o registro destes tipos de incidentes quanto o registro das ações que foram adotadas para solucioná-los. Isso porque sem o referido sistema de gestão, o órgão ou ente público tende a não conseguir executar o processo de tratamento e de resposta a incidentes com eficiência e nem manter e utilizar um histórico de incidentes como aprendizado para reduzir o risco de eventos futuros.

Além disso, é indicado que os órgãos ou entes públicos monitorem proativamente a ocorrência dos eventos que podem estar relacionados à violação de dados pessoais. Noutras palavras, os órgãos e entes públicos devem avaliar se os eventos de segurança da informação envolvem violações de dados pessoais para que, em caso positivo, possam implementar mecanismos de monitoramento proativo, adotando as medidas adequadas para tratar, de forma tempestiva, as ocorrências que possam resultar nessas violações. Tal postura de monitoramento proativo pode auxiliar na minoração do risco de ocorrência dos eventos com violação de dados pessoais bem como na diminuição dos impactos decorrentes desses casos de violação.

Por fim, ainda com relação ao tema de incidentes de segurança com violação de dados pessoais, há que se destacar que o artigo 48 da LGPD determina que o controlador comunique à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao próprio titular. Sendo assim, é necessário que os órgãos ou entes públicos definam o procedimento para promover a referida comunicação à ANPD, sendo recomendável que essa comunicação esteja inserida dentro do fluxo de resposta a incidentes de segurança.

Destaca-se que, nos termos do § 1º do artigo 48, esta comunicação deverá ser feita em prazo razoável - a ser definido pela ANPD - e deverá englobar, minimamente: 1) a descrição da natureza dos dados pessoais afetados, 2) as informações sobre os titulares envolvidos, 3) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, 4) os riscos relacionados ao incidente, 5) os motivos da demora, no caso de a comunicação não ter sido imediata; e 6) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Mas vale ressaltar que, além destas, a ANPD tem requerido que sejam enviadas outras informações, cujo rol está disponível no formulário de comunicação de incidentes de segurança com dados pessoais, divulgado no sítio eletrônico da autoridade[2].

A ANPD tem orientado também que, em caso de incidente de segurança com violação de dados pessoais, sejam adotadas as seguintes medidas: 1) avaliar internamente o incidente: natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis; 2) comunicar ao encarregado (artigo 5º, VIII da LGPD); 3) comunicar ao controlador; 4) comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (artigo 48 da LGPD); e 5) elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (artigo 6º, X da LGPD).

Ressalte-se, por fim, que a ANPD tem recomendado que se adote posição de cautela e se comunique o incidente de segurança mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos, uma vez que eventual e comprovada subavaliação dos riscos e danos pode ser considerada descumprimento à legislação de proteção de dados pessoais.

[1] Na página 'Comunicação de incidentes de segurança', disponível em . Acesso 16 nov 2022.

[2] Disponível em . Acesso 16 nov 2022.

Jota, Noticias, Danielly Cristina Araújo Gontijo Raphael e Rodrigues Valença de Oliveira


 - - - - -


Para saber mais, clique aqui.



Para saber mais sobre o livro, clique aqui.




Para saber mais sobre o livro, clique aqui



Para saber mais clique aqui





Para saber mais sobre o livro, clique aqui





Para saber mais sobre os livros, clique aqui




Para saber mais sobre a Coleção, clique aqui




Para saber mais sobre o livro, clique aqui


- - - - - -




No mecanismo de busca do site amazon.com.br, digite "Coleção As mais belas lendas dos índios da Amazônia” e acesse os 24 livros da coleção. Ou clique aqui

O autor:

No mecanismo de busca do site amazon.com.br, digite "Antônio Carlos dos Santos" e acesse dezenas de obras do autor. Ou clique aqui


Clique aqui para acessar os livros em inglês