Incidente de segurança: não há razão para deixar de comunicar à ANPD

Em uma recente palestra durante o Congresso de Direito Digital, ocorrido em 18 de setembro em São Paulo, diretores da ANPD reforçaram a importância da notificação de incidentes de segurança, mesmo que sejam apenas comunicações parciais, feitas antes de se ter conhecimento completo da extensão do incidente.

A notificação de incidentes à ANPD é importante por várias razões:

• Permite que a ANPD tome medidas para orientar na mitigação dos riscos decorrentes do incidente.
• Ajuda a ANPD a identificar tendências e vulnerabilidades que podem ser exploradas por criminosos.
• Pode ajudar a proteger os titulares de dados, fornecendo-lhes informações sobre o incidente e as medidas que podem tomar para se proteger.

É importante lembrar que a notificação de incidentes à ANPD, por si só, não acarreta multas. Pode até mesmo resultar em uma simples advertência quando, por exemplo, a empresa demonstra boas práticas de segurança e não há dano grave. Assim, não há razão para evitar tais comunicações.

Apesar disso, um relatório divulgado hoje, 26 de setembro de 2023, pela Keeper Security, revela que muitas empresas não notificam incidentes de segurança às autoridades competentes. Segundo o relatório, 41% dos incidentes não são reportados à liderança interna, e quase metade (48%) é mantida em segredo das autoridades competentes.

Os motivos para a falta de notificação são variados:

• Alguns agentes de tratamento acreditam que não são obrigados a notificar incidentes de segurança.
• Outros temem as consequências legais ou reputacionais de fazer uma notificação.

É fundamental que os agentes de tratamento estejam cientes de suas obrigações legais em relação à notificação de incidentes de segurança. A não-notificação de um incidente pode resultar em multas, sanções administrativas e até mesmo em ações judiciais.

A ausência de notificação é mais provável de resultar em sanção do que a própria comunicação à autoridade, dando-lhe ciência do ocorrido.

Quando questionados sobre os motivos da falta de divulgação interna, 48% dos líderes de TI e de segurança entrevistados no relatório afirmaram não acreditar que a liderança se importaria com um ataque cibernético (25%) ou que responderia a ele de qualquer forma (23%). A falta de denúncia às autoridades baseou-se principalmente no medo de repercussão (43%) e nas preocupações de curto prazo sobre danos à marca da organização (36%), seguidos por um sentimento de que era desnecessário (36%) e esquecimento (32%).

O presidente da ANPD, durante o congresso, reforçou que as empresas não precisam se preocupar com o fato de que a notificação tornará o caso público, insistindo que as comunicações são sigilosas e só se tornam públicas quando necessário, como medida de mitigação e após a análise completa do caso.

Outro ponto a considerar é que muitas vezes as comunicações oficiais à ANPD e aos titulares não são realizadas porque não foi iniciado o plano de resposta a incidentes, e, consequentemente, o incidente não chegou ao time responsável.

A plataforma Level Earning ajuda nesse aculturamento, incluindo entre suas ações gamificadas os formulários para notificar incidentes.

Exemplos de incidentes que devem ser comunicados:

• Rompimento de sigilo de dados pessoais, como senhas, números de cartão de crédito ou endereços.
• Divulgação não autorizada de dados pessoais, como no caso de envio de uma planilha com dados de colaboradores para um terceiro não autorizado.
• Destruição ou perda de dados pessoais: perda de um computador, celular ou outro dispositivo com dados pessoais controlados pela empresa.