Um incidente de segurança é uma situação de segurança ou uma série de situações conhecidas ou suspeitas de afetar a disponibilidade, integridade, confidencialidade e confiabilidade de ativos de informação e violações de políticas de segurança de informações e comunicações.
O artigo 6º da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) estabelece que os processadores de dados pessoais devem manter em segurança estes dados, afastando o acesso não autorizado, circunstâncias acidentais, destruição ilícita, perdas, alterações, transmissões ou manuseios de qualquer forma imprópria ou ilegal.
Mas, o que fazer em caso de um incidente de segurança?
Medidas a serem seguidas em caso de incidente de segurança
Em caso de algum incidente de segurança, algumas medidas devem ser tomadas imediatamente a fim de dirimir qualquer tipo de riscos em toda a operação. As medidas são:
A primeira coisa a se fazer é avaliar o incidente internamente. O tipo, a categoria, número de pessoas afetadas, quantidade de dados afetados, e prováveis resultados específicos. E sempre consultar o formulário de avaliação no site da ANPD;
Informar ao responsável, como explicitado no (Art. 5º, VIII da LGPD);
Informar ao controlador, caso você seja o operador;
Notificar à ANPD e aos titulares dos dados, em caso de risco ou dano relacionado a esses titulares, conforme o artigo 8 da LGPD.
Confeccionar documento contendo avaliação interna da ocorrência, ações que serão e foram adotadas e análise de riscos para cumprimento dos princípios de responsabilidade e prestação de contas, conforme o art. 6º, X da LGPD.
O artigo 8º da Lei Geral de Proteção de Dados, estabelece que é dever do controlador notificar a ANPD e aos titulares sobre qualquer incidente de segurança, que possa representar um risco ou causar danos significativos para estes titulares.
É recomendado que os controladores se comuniquem com cautela, mesmo em caso de dúvidas sobre a gravidade dos danos.
Mesmo sendo uma obrigação dos controladores, a respeito da informação do incidente de segurança, caso algum operador a faça, esta será igualmente analisada pela ANPD.
Exemplos de incidentes de segurança
- Listamos aqui alguns dos exemplos mais comuns quando se trata de incidente de segurança:Uso impróprio: Use o e-mail da empresa para enviar spam ou promover seu negócio pessoal, instalação de software não autorizado, uso não autorizado de pendrives.
- Vazamento de dados: Divulgação não autorizada de dados e informações pessoais, roubo ou comprometimento de credenciais.
- Acesso não autorizado ao sistema de dados: Tentar ou acessar o sistema usando credenciais de terceiros, uso indevido do sistema, causar uma falha no sistema que impede o acesso autorizado.
Vírus, malwares, ransomwares;
- Modificação indiscriminada de sites e sistemas;
- Desrespeito às políticas de segurança, de uso da empresa ou de provedores de acesso; etc.
Principais dicas
- A seguir, você pode conferir as principais dicas a fim de evitar algum incidente de segurança.Instale um programa de antivírus em seu computador e mantenha-o atualizado;
- Use um software anti-spyware;
- Evitar executar programas recebidos por e-mail;
- Não preencher formulários que solicitem dados pessoais ou senhas recebidas por e-mail;
- Sempre manter todos os sistemas, especialmente os sistemas de proteção e sistemas operacionais, sempre atualizados;
- Não acesse sites que utilizam dados pessoais em redes públicas, como em: cybercafés, redes compartilhadas e estações públicas; etc.
- Lembrando que seu programa antivírus pode estar desatualizado ou você pode estar executando um programa de captura, o que compromete sua privacidade e diretamente a sua segurança.
Vale salientar que, a Lei Geral de Proteção de Dados institui que a comunicação de um incidente de segurança deve ser feita o quanto antes possível. Tal comunicação, pode ser feita através do site
Peticionamento Eletrônico – Usuário Externo.
