Blog da SSCA

Comunicação de Incidente de Segurança na LGPD: Entenda como funciona!

Comunicação de Incidente de Segurança na LGPD: Entenda como funciona!

Você sabe quais são as novas regras para comunicação de incidente de segurança na LGPD? A expansão digital e a geração de grandes volumes de dados pessoais sendo coletados e armazenados são um fenômeno moderno ininterrupto, por isso, a segurança da informação é sempre uma prioridade. A Lei Geral de Proteção de Dados (LGPD) estabeleceu diretrizes para a proteção desses dados, mas as ameaças cibernéticas estão em constante evolução e exigem atualizações na regulamentação.

Em 2024, novas regras foram introduzidas, trazendo mudanças na forma como as empresas devem lidar com incidentes de segurança visando fechar lacunas na legislação anterior e oferecer uma resposta mais adequada em caso de violações de dados.

Neste cenário, as empresas são obrigadas a agir rapidamente quando ocorrer um incidente de segurança de dados pessoais. Para tanto, é necessária a comunicação imediata das autoridades e dos titulares dos dados afetados para minimizar danos e zelar pela transparência.

A nova regulamentação de 2024 impõe novas responsabilidades e incentiva uma cultura de proteção de dados mais proativa. Para as empresas, isso significa aprimorar constantemente suas práticas de segurança, estando sempre um passo à frente das ameaças. Neste artigo abordaremos a comunicação de incidente de segurança na LGPD conforme regulamentação pela Resolução CD/ANPD nº 15. Siga com a leitura e fique por dentro desta relevante atualização!

O que caracteriza um incidente de segurança da informação?

O incidente de segurança da informação é caracterizado por qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade das informações, conforme previsto na nova regulamentação da LGPD criada por meio da Resolução CD/ANPD nº 15, de 24 de abril de 2024 que aprova o Regulamento de Comunicação de Incidente de Segurança. Confira agora algumas características comuns de um incidente de segurança da informação:

  • Acesso não autorizado: Quando uma pessoa ou entidade não autorizada obtém acesso a sistemas ou dados que deveriam estar protegidos;
  • Destruição ou perda de dados: Quando dados são destruídos acidentalmente ou deliberadamente, ou quando há perda de dados que não pode ser recuperada;
  • Alteração de dados: Quando dados são modificados sem autorização, resultando em informações incorretas ou corrompidas;
  • Divulgação indevida de dados: Quando informações confidenciais ou sensíveis são expostas ou divulgadas de forma inadequada, seja intencionalmente ou acidentalmente;
  • Tratamento inadequado ou ilícito: Quando dados pessoais são processados de maneira que viola políticas de segurança ou regulamentações legais, como o uso não autorizado de dados;
  • Interrupção de serviços: Quando a disponibilidade de serviços ou sistemas é comprometida, por exemplo, devido a ataques de negação de serviço (ddos) ou falhas técnicas graves;
  • Fraude ou roubo de identidade: Quando informações são usadas para cometer fraude ou roubar a identidade de alguém;
  • Exploração de vulnerabilidades: Quando falhas ou brechas em sistemas de segurança são exploradas para obter acesso não autorizado ou causar danos.

Os eventos citados acima envolvem a violação de políticas de segurança ou a exposição a riscos que comprometem a proteção das informações e a operação normal dos sistemas.

Comunicação de Incidente de Segurança na LGPD: Entenda como funciona!
Comunicação de Incidente de Segurança na LGPD: Entenda como funciona!

Quais são os tipos de incidentes?

Os tipos de incidentes de segurança da informação variam dependendo da natureza e da gravidade do evento. Confira agora alguns dos tipos mais comuns:

  • Vazamento de dados: Quando informações sensíveis ou confidenciais são divulgadas sem autorização, seja acidentalmente ou de forma maliciosa;
  • Acesso não autorizado: Quando indivíduos ou sistemas não autorizados obtêm acesso a dados ou recursos protegidos;
  • Ataques de malware: Incidentes que envolvem software malicioso, como vírus, worms, trojans, ransomware, e spyware, que podem danificar sistemas ou roubar informações;
  • Phishing: Tentativas fraudulentas de obter informações sensíveis, como senhas e dados bancários, por meio de e-mails ou mensagens enganosas;
  • Ataques de Denial of Service (DoS) e Distributed Denial of Service (DDoS): Quando um sistema ou serviço é sobrecarregado com tráfego malicioso para torná-lo indisponível para usuários legítimos;
  • Manipulação de dados: Alteração não autorizada de dados, resultando em informações incorretas ou corrompidas.
  • Perda de dados: Quando dados são acidentalmente excluídos ou corrompidos e não podem ser recuperados, ou quando há falha em fazer backup adequado dos dados;
  • Interrupção de serviços: Incidentes que afetam a disponibilidade dos serviços ou sistemas, seja por falhas técnicas, ataques ou problemas operacionais.
  • Uso indevido de recursos: Quando recursos de TI são usados de maneira não autorizada ou inadequada, como o uso de software pirata ou recursos de sistema para fins pessoais.
  • Violação de políticas de segurança: Incidentes que ocorrem quando as políticas de segurança da organização são violadas, seja por negligência, erro ou ação maliciosa.

Cada tipo de incidente demanda ações diferentes por parte do TI para resposta e recuperação, dependendo da natureza do evento e do impacto potencial.

Como a LGPD define um incidente de segurança?

A LGPD define um incidente de segurança como qualquer situação que envolva acessos não autorizados, destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito de dados pessoais, ou seja, é um evento que compromete a integridade, confidencialidade ou disponibilidade dos dados pessoais tratados pela organização.

Quando ocorrer um incidente de segurança com dados pessoais devo comunicar?

Você deve comunicar um incidente de segurança com dados pessoais quando ele tiver potencial para causar risco ou dano relevante aos titulares dos dados, como em situações em que o incidente afeta os interesses e direitos dos titulares:

  • Dados sensíveis: Informações sobre saúde, origem racial ou étnica, opiniões políticas, entre outros;
  • Dados de crianças, adolescentes ou idosos;
  • Dados financeiros;
  • Dados de autenticação em sistemas;
  • Dados protegidos por sigilo legal, judicial ou profissional;
  • Dados em larga escala, que abrangem um número significativo de titulares.

Assim, se o incidente tem o potencial de causar danos materiais ou morais, como discriminação, violação de integridade física, fraudes financeiras ou roubo de identidade, é necessário comunicar à ANPD. A comunicação deve ser feita dentro do prazo estabelecido, que é de três dias úteis, conforme a Resolução n° 15/2024.

O que fazer em caso de incidente de segurança com dados pessoais?

Em caso de incidente de segurança com dados pessoais, siga estes passos:

Identifique o Incidente

Determine a natureza e a extensão do incidente. Verifique quais dados foram afetados e como o incidente ocorreu.

Avalie o Impacto

Analise o potencial risco ou dano aos titulares dos dados. Considere a gravidade e a amplitude do impacto.

Contenha o Incidente

Implemente medidas para parar a continuidade do incidente e evitar que se espalhe. Isso pode envolver a desconexão de sistemas, mudança de senhas, ou outras ações corretivas.

Mitigue os Efeitos

Tome medidas para reduzir os danos e mitigar as consequências do incidente. Por exemplo, informe os titulares afetados e ofereça suporte para minimizar os impactos.

Informe à ANPD

Dentro do prazo de três dias úteis, comunique o incidente à Autoridade Nacional de Proteção de Dados (ANPD). A comunicação deve incluir detalhes como a natureza dos dados afetados, os riscos envolvidos, e as medidas adotadas.

Notifique os Titulares

Se o incidente puder causar risco relevante, informe os titulares dos dados afetados sobre o que ocorreu, como isso pode impactá-los e quais medidas estão sendo tomadas.

Documente o Incidente

Registre todas as informações relacionadas ao incidente, incluindo como foi detectado, as ações tomadas e as comunicações feitas.

Após o incidente, faça uma revisão para identificar falhas no processo de segurança e implemente melhorias para evitar futuros incidentes.

Conclusão

A gestão da sua empresa pode ser mais eficiente! Se você precisa da ajuda de um contador para resolver questões fiscais, contábeis, tributárias e de folha de pagamento da sua empresa, conte com a SSCA! Fale diretamente com um contador e tenha um atendimento personalizado. Entre em contato conosco!

Precisa de ajuda?
Entre em contato com a SSCA!
Compartilhe em suas redes sociais:

Contatos:

Av. Santo Amaro, 3.330 – 2 º e 9 º andar.
São Paulo, SP | Cep: 04556-300

(11) 5180–6666

Política de Privacidade

Cadastre-se para receber novidades:

Ao informar meus dados, eu concordo com a Política de Privacidade.
Ⓒ 2021 - Todos os direitos reservados
Criação: PWI Web Studio
SSCA Consultoria e Assessoria

SSCA CONTABILIDADE E ASSESSORIA
Online

Olá, em que posso te ajudar? Me informe seu dados para iniciarmos uma conversa sem compromisso :)

Ao informar meus dados, eu concordo com a Política de Privacidade.