• English English
  • Português (Brasil) Português (Brasil)
  • Español Español
  • Prestação de Contas
  • Transparência
  • Privacidade e Proteção de Dados
  • Assinador Digital
  • HOD
  • PSS Serpro
  • Intranet
Área do Cliente
  • Loja
  • Soluções
    • Por Público
      • Empresas
        • Certificação Digital
        • Datavalid
        • SNE
        • NeoID
        • Integra Loja Franca
        • Vio
        • Renave
        • Nova Placa Veicular
        • Consulta Denatran
        • Inteligência de Negócio
        • Conexão de Redes Anexadas
        • Arquivos Estatísticos Denatran
        • Integra COMEX
        • Biovalid
      • Governo
        • Certificação Digital
        • Infovia
        • Margem Consignável
        • Radar
        • Autua
        • SNE
        • Integra Siafi
        • NeoID
        • Vio
        • DaaS
        • Govdata
        • ProID
        • Serpro Mail
        • Conexão de Redes Anexadas
        • Cartório Data
        • Biovalid
      • Cidadão
        • Certificação Digital
        • SNE
        • CDT Carteira Digital de Trânsito
        • Vio
        • NeoID
        • ProID
    • Por Linha de Negócio
      • Operações de Governo
        • SNE
        • CBIO
        • Notificação e Registro de Recall
        • Consulta Denatran
        • Emplaca
        • Integra Loja Franca
        • Painel de Inteligência Veicular
        • Renave
      • Informação e Análise
        • DaaS
        • Cartório Data
        • Plataforma de Inteligência de Negócios
        • GovData
        • Biovalid
        • Datavalid
        • Consulta CND
        • b-Cadastros
      • Software
        • SerproMail
        • Gestão de Margem Consignável
        • Radar
        • ProID
        • VendasGov
        • Cidades GOV.BR
      • Ambientes e Conectividade de TI
        • Serpro MultiCloud
        • Infovia
      • Privacidade e Segurança
        • Emissão de Carimbo de Tempo
        • Certificação Digital
        • Hospedagem de Autoridade Certificadora
        • NeoID
        • PSBio
        • Serpro LGPD
        • Vio
        • GovShield
    • Por Cliente
      • Receita Federal
      • Senatran
      • Secretaria de Portos
      • Tesouro Nacional
      • Ministério da Economia
      • Secex
      • MRE e PF
  • Suporte
    • Central de Ajuda
    • Central de Serviços
    • Atendimento Gestão de Consignação
      • Sistema de Consignação
      • Preço dos serviços
      • Cronograma Vigente
      • Cronograma 2020
      • Cronograma 2021
      • Cronograma 2022
    • Central de Serviços - Transformação Digital da Justiça
  • Insights
  • Imprensa
  • A empresa
    • Estrutura Organizacional
    • Transparência
    • Endereços
    • Visite o Serpro
    • Livro da Marca
    • Inovação Aberta
      • Serpro Ventures
      • HackSerpro
        • Hackathon - Compras Governamentais
        • Hackathon Rede +Brasil
    • Eventos
      • 2º Prêmio Serpro de Privacidade e Proteção de Dados
        • Aviso de Privacidade
      • 1ª Semana Serpro de Privacidade e Proteção de Dados
        • Participantes
      • Serpro Talks
      • Semana Nacional de Ciência e Tecnologia
      • Webinar Serpro
        • Riscos à Privacidade e Proteção de Dados
        • Inteligência Artificial - Desafios para a privacidade e proteção de dados
        • Avaliação de adequação à LGPD
        • Serpro e Fecomércio MG
        • Escritório Virtual
        • LGPD e Open Banking
        • LGPD: desafios e perspectivas
        • Pix - Pagamentos Instantâneos
        • Identificação digital e experiência do cliente
        • Privacidade e proteção de dados
      • Desafio Cultural POG
      • Lançamento da Plataforma LGPD Educacional
      • 1º Prêmio Serpro de Privacidade e Proteção de Dados
        • Aviso de Privacidade
    • Nossos Endereços
    • Eleições CA - 2022
    • Processo Seletivo COAUD
    • Certificações e Reconhecimento
  • Contato
  • Acesso à informação
  • Área do Cliente
    Redefine Cookies
    Info

    Notícias

    notícias

    Artigo

    Privacidade Importa

    Violação de dados pessoais: o que fazer antes, durante e depois de um incidente?

    Artigo aborda boas práticas de gestão de incidentes e orientações de órgãos controladores para os titulares de dados pessoais das organizações
    Ilustração composta por vários ícones de cadeados azuis e íntegros, todos formados por sequências de zeros e uns. Apenas um cadeado é vermelho e está quebrado, simbolizando possível incidente de seguraça
    • Facebook
    • Linkedin
    • Twitter
    • Whatsapp
    by Comunicação do Serpro — 29 de june de 2022

    Vazamentos de dados pessoais já não são mais novidade. Dia após dia, notícias inundam as redes com a força e a rapidez de uma grande adutora de água estourada. E, apesar de as empresas afetadas se apressarem para comunicar e se esforçarem para conter e tratar rapidamente o incidente, na maioria das vezes os titulares já foram impactados com mais um vazamento dos seus dados pessoais.

    De acordo com o Relatório da Atividade Criminosa Online no Brasil, publicado em fevereiro deste ano pela empresa Axur, 2,8 bilhões de registros foram expostos no ano passado, número que manteve o Brasil, pelo segundo ano seguido, como o campeão mundial em vazamento de dados.

    Conteúdo dos 24 vazamentos de 2021, separados por trimestre. Fonte: AxurGráfico

    Em estudo recentemente divulgado pelo jornal Estado de São Paulo, a consultoria alemã Roland Berger afirmou que, a cada segundo, uma empresa brasileira recebe uma tentativa de ataque hacker, ritmo que coloca o Brasil no 4º lugar entre os com maior volume de tentativa de ataques ransomware; em 2020, estava na 9ª posição. Ainda de acordo com a consultoria, a estimativa é que existam ao menos 17 grupos hackers atuando em ciberataques no Brasil, o que coloca o país na liderança desse tipo de criminalidade na América Latina. “Qualquer empresa de porte e com fluxo de caixa grande é hoje alvo de ransomware”, afirmou Marcus Ayres, sócio-diretor da Roland Berger para a área de indústria e tecnologia.

    O que fazer nesse cenário?

    Diante desse panorama, como parte dos processos corporativos de gestão de incidentes, o agente de tratamento deve estabelecer responsabilidades e procedimentos para a identificação e registro de violações de dados pessoais. Deve, ainda, estabelecer responsabilidades e procedimentos relativos à comunicação para as partes interessadas nas violações de dados pessoais e à divulgação para as autoridades, levando em conta a regulamentação e/ou legislação aplicadas.

    Cada organização, de acordo com o seu porte, deve possuir equipes que atuem no tratamento de incidentes de segurança da informação. O mais comum é a formação ou contratação de um Centro de Operações de Segurança, também conhecido como SOC. A equipe do SOC coordena e executa medidas de contenção e mitigação do incidente cibernéticos, como também notifica a equipe do Encarregado para registro de incidentes que contenham dados pessoais (violação de dados pessoais).

    Incidentes de indisponibilidade característicos do modelo ITIL, de gestão de incidentes de serviços, também devem ser monitorados e comunicados à equipe do Encarregado para avaliação e acompanhamento. Esses tipos de incidentes geralmente são gerenciados por equipes que formam o Centro de Operações de Rede (NOC), que tem a responsabilidade de gerenciar a operação dos serviços hospedados nos centros de dados (data center) e atuar diretamente em casos de incidentes de indisponibilidade de alta prioridade que possam gerar riscos ou danos relevantes aos titulares de dados pessoais.

    Não esquecer da segurança física

    Cabe destacar também que, por maior que possam ser os riscos no ambiente cibernético, os riscos à segurança física dos ambientes corporativos não podem ser negligenciados, principalmente em ambientes críticos, como o centro de dados (data center) e salas de arquivo de guarda de documentações em papel, como prontuários médicos de funcionários e prestadores de serviço.

    A equipe de segurança física deve controlar o acesso físico às instalações, adotando como requisito de segurança a identificação e autorização de entrada para circulação de pessoas e veículos em suas dependências, em conformidade com as determinações constantes em um sistema de gestão de identidade e acesso e manuais de procedimentos. A equipe também deve comunicar incidentes de acesso não autorizado a dados pessoais à equipe do Encarregado, para providências de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018).

    Simulação de incidentes

    Uma outra boa prática na gestão de incidentes para os agentes de tratamento, encontrada em frameworks de segurança da informação (como a ISO/IEC 27035, que fornece as diretrizes para planejar e preparar a resposta à incidentes, e o NIST Cybersecurity Framework, um guia de aperfeiçoamento da segurança cibernética para infraestrutura crítica) é a realização de exercícios de simulação de incidentes.

    O objetivo dessas simulações é a elaboração de cenários de riscos em ambientes controlados, para que os planos de resposta a incidentes de segurança da informação e o plano de resposta à violação de dados pessoais possam ser testados, preparando as equipes que tratam incidentes para atuarem em casos reais com as lições aprendidas nesses exercícios.

    Trabalho de equipe

    Importante destacar que a equipe do Encarregado deve ser multidisciplinar e com habilidades distintas em diversas áreas de atuação, de forma a garantir todo o escopo da LGPD e a sua conformidade. Para atuação no processo de gestão de incidentes, essa equipe deve receber os registros de violação de dados pessoais de todas as equipes que tratam incidentes na organização e avaliar as necessidades de comunicação à Autoridade Nacional de Proteção de Dados - ANPD, ao titular ou até mesmo ao controlador, quando for operador.

    Nós, como titulares de dados pessoais e empoderados pela LGPD, fazemos parte do problema, mas também fazemos parte da solução. Precisamos estar conscientes que boas práticas de segurança, privacidade e proteção de dados andam de mãos dadas, seja na vida pessoal ou profissional. E precisamos praticá-las no dia a dia contra as violações dos nossos dados pessoais.

    O que orienta a ANPD

    Para tentar evitar os crimes cibernéticos e diminuir os impactos aos titulares de dados pessoais, o artigo 46 da Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que: “os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

    Na ocorrência de incidentes de segurança com dados pessoais, a ANPD recomenda aos agentes de tratamento as seguintes ações abaixo:

    1. Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.
    2. Comunicar ao encarregado (Art. 5.º, VIII da LGPD).
    3. Comunicar ao controlador, se você for o operador, nos termos da LGPD.
    4. Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Artigo 48 da LGPD).
    5. Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

    O artigo 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD também recomenda que embora a responsabilidade e a obrigação pela comunicação sejam do controlador, caso excepcionalmente sejam apresentadas informações pelo operador, estas serão devidamente analisadas pela ANPD.

    Ainda nas orientações para comunicação de incidentes de segurança com dados pessoais, a ANPD é taxativa ao afirmar que um incidente de segurança, que possa acarretar um risco ou dano relevante aos titulares afetados, deve sempre ser comunicado. Porém, a ANPD esclarece que critérios mais objetivos serão objeto de futura regulamentação, e que, de toda forma, pode-se extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que:

    • O incidente envolver dados pessoais sensíveis.
    • O incidente envolver indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes.
    • Tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.

    Deve-se considerar também:

    • O volume de dados envolvido.
    • O quantitativo de indivíduos afetados.
    • A boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente.
    • A facilidade de identificação dos titulares por terceiros não autorizados.

    Na ausência de definição de critérios mais objetivos pela ANPD para avaliação da gravidade do incidente para comunicação, os agentes de tratamento, no âmbito da LGPD, podem encontrar orientações nas agências supervisoras e reguladoras que compõe a União Europeia. Como no caso da Agência da União Europeia para a Segurança da Rede e da Informação (ENISA), que definiu critérios para comunicação à autoridade supervisora e aos titulares de dados pessoais.

    De forma resumida, a ENISA orienta uma avaliação de critérios levando em consideração o contexto do tratamento, identificando: a categoria de dados pessoais envolvida na violação; a facilidade de identificação do titular, quando for mais difícil identificar os titulares de dados pessoais afetados, menor será a gravidade; e, por último, a circunstância que quantifica os tipos de violações que podem ser apresentadas no incidente. No cruzamento desses critérios é apresentado o resultado, em valor numérico, que irá nortear a conduta do Controlador perante as suas obrigações de comunicações em conformidade com a LGPD.

    A gravidade de um incidente poderá ser classificada em uma escala, desde um mero inconveniente para os titulares de dados pessoais, a incidentes, nos quais os titulares de dados pessoais podem enfrentar consequências com perdas significativas ou irreversíveis, que ofereçam dificuldade ou impossibilidade de superação, como dívidas substanciais, incapacidade para trabalho, danos psicológicos de longo prazo, morte, etc.

    De acordo com o nível de gravidade definido, o agente de tratamento deverá adotar providências específicas. Para incidentes brandos, basta apenas registrar o tratamento realizado para futura prestação de contas, sem realizar comunicações. Já para incidentes mais severos, poderá ser necessário que o Controlador comunique aos titulares envolvidos de forma personalizada ou, caso não seja possível, disparar nota pública detalhada à imprensa e divulgar de forma ampla no sítio da organização instruções e procedimentos que possam ser adotados para que o titular não sofra maiores impactos, além de comunicar a ANPD.

    Por fim, a ANPD recomenda aos Controladores que adotem uma posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos Controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

    ____________

    Sobre o autor

    Leandro Oliveira CamposLeandro Oliveira Campos é analista de Segurança e Privacidade no Serpro. Possui graduação em Tecnologia em Informática (UniverCidade), pós-graduação em Gestão Pública (UnB) e Planejamento, Implementação e Gestão de Ensino a Distância (UFF). Possui também as certificações: Lead Implementer ABNT NBR ISO/IEC 27701; Lead Auditor BS ISO/IEC 27001; IT Disaster Recovery Analyst (ITDRA); Encarregado de Dados (Serpro/Datashield) e Gestor de Dados (Serpro/Datashield). Membro da Comissão de Estudo de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade da ABNT (CE-021:004.027).

    Profissional com mais de 20 anos de experiência, atualmente faz parte da equipe do Departamento de Governança do Programa de Privacidade e Proteção de Dados, atuando principalmente nas atividades de revisão e elaboração de normas corporativas de segurança da informação, privacidade e proteção de dados pessoais; na gestão de incidentes com violação de dados pessoais; gestão de riscos e gestão de conformidade em privacidade e proteção de dados pessoais. 

    Doormat

    Soluções

    Por Público
    Por Linha de Negócio
    Proteção de Dados

    Suporte

    Central de Ajuda
    Central de Serviços
    Acesso Remoto (SAR)
    Consignatários
    Downloads

    Institucional

    Marca Serpro
    Quem Somos
    Integridade
    Transparência
    Carreiras
    Simplifique

    Contato

    Contatos
    Imprensa

    Empregado

    Intra Serpro
    PAS Serpro
    Plano Odontológico

    Serpro Sede

    SGAN Quadra 601 Módulo "V"

    CEP: 70836-900

    FAX: (61) 2021-8531

    Horário de atendimento: 8h às 18h

    Serpro Ministério da Fazenda Governo Federal

    Contato

    • Quero Adquirir uma Solução
    • Problemas com uma Solução
    • Assessoria de Imprensa
    • Ouvidoria
    • Outro Assunto