Os riscos de privacidade e proteção de dados no uso da Inteligência Artificial
27 de março de 2024
INSS expõe dados pessoais de milhões de brasileiros
2 de julho de 2024
Em um mundo onde dados pessoais são considerados valiosos ativos e as ameaças cibernéticas aumentam a cada dia, estabelecer mecanismos para garantir a sua proteção se tornou uma prioridade absoluta para empresas de todos os setores.
Dentro desse contexto, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 24 de abril e 2024, o Regulamento de Comunicação de Incidente de Segurança (RCIS), que além de estabelecer obrigações a serem atendidas pelos controladores de dados pessoais em relação a incidentes de segurança, promove a adoção de boas práticas de governança, como medidas de mitigação de riscos e prejuízos decorrentes de situações envolvendo incidentes de segurança.
Dentre as principais obrigações estabelecidas pela ANPD no âmbito do RCIS em relação ao controlador de dados, verifica-se:
- Comunicação de Incidente de Segurança: a comunicação à ANPD e aos titulares sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, deverá ser realizada em até 3 dias úteis a partir da identificação do incidente, por meio de encarregado de proteção de dados (DPO).
Um incidente será considerado relevante se puder afetar significativamente os interesses e direitos fundamentais dos titulares e envolver dados pessoais sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas (dados de usuário e senha), dados protegidos por sigilo legal, judicial ou profissional, ou dados em larga escala.
- Detalhamento da Comunicação de Incidente de Segurança: a comunicação deverá conter informações detalhadas sobre o incidente, incluindo, dentre outros, descrição da natureza e categoria dos dados afetados, número de titulares afetados, especificando crianças, adolescentes ou idosos, se aplicável, medidas técnicas e de segurança adotadas antes e após o incidente, riscos relacionados ao incidente e seus impactos nos titulares, medidas tomadas ou a serem adotadas para reverter ou mitigar os efeitos do incidente, data da ocorrência e data de conhecimento do incidente pelo controlador, dados de contato do encarregado ou representante do controlador.
- Guarda de Registros de Incidente de Segurança: o controlador deve manter registro do incidente de segurança, incluindo aqueles não comunicados à ANPD e aos titulares, por no mínimo cinco anos, a menos que haja obrigações adicionais exigindo um prazo maior.
A implementação de um programa de governança de dados eficiente é uma estratégia de investimento empresarial inteligente, que permite que as empresas se adequem ao RCIS, bem como minimizem os riscos reputacionais e financeiros associados a ataques cibernéticos e vazamentos de dados, através da adoção de algumas medidas, tanto técnicas quanto administrativas:
- Nomeação de um Encarregado de Proteção de Dados (DPO): a nomeação de um Encarregado de Proteção de Dados é medida obrigatória para atendimento a LGPD, sobretudo para representação do controlador perante a ANDP e os titulares, inclusive no âmbito de comunicação de incidentes de segurança. A função de DPO pode ser terceirizada, permitindo as empresas a contratação de profissionais especializados na matéria, com redução de custos internos.
- Avaliação de Riscos: realizar avaliações regulares de riscos de violação de segurança da informação para identificar e entender as vulnerabilidades nos sistemas de informação da empresa. Isso permite que a empresa tome medidas proativas para mitigar esses riscos antes que ocorra um incidente.
- Políticas de Proteção de Dados e Segurança da Informação: implementar políticas claras e abrangentes relativas a proteção de dados e segurança da informação, incluindo diretrizes para o armazenamento seguro de dados, o acesso restrito a informações confidenciais e a criptografia de dados sensíveis. Essas políticas ajudam a proteger os dados pessoais da empresa contra acessos não autorizados e uso indevido.
- Treinamento e Conscientização: capacitar os funcionários por meio de programas de treinamento e conscientização sobre proteção de dados e segurança da informação. Funcionários bem treinados estão mais preparados para reconhecer e responder a ameaças cibernéticas, reduzindo assim o risco de incidentes de segurança.
- Monitoramento Contínuo: implementar sistemas de monitoramento contínuo para detectar atividades suspeitas e potenciais violações de dados em tempo real. Isso permite uma resposta rápida a incidentes de segurança, minimizando o impacto negativo nas operações comerciais.
- Resposta a Incidentes: desenvolver planos de resposta a incidentes detalhados para lidar com violações de dados de forma eficaz. Isso inclui a designação de equipes de resposta a incidentes nos aspectos jurídico, regulatórios e de negócios, a definição de procedimentos claros para notificação de violações de dados e a colaboração com autoridades.
Além das implicações legais e regulatórias, um ataque cibernético pode trazer sérias consequências financeiras e reputacionais para a empresa, afetando sua credibilidade, relacionamento com clientes e, em última instância, sua sobrevivência no mercado.
Quando implementados de maneira integrada e proativa, esses mecanismos que compõem um programa de governança de dados pessoais ajudam a fortalecer a segurança da informação da empresa, assim como os dados de seus clientes, parceiros e colaboradores, e a minimizar os riscos relacionados a incidentes de segurança de dados, sendo necessário um planejamento específico e um plano de ação compatível com as atividades e o porte de cada empresa.
O escritório EMERENCIANO, BAGGIO & ASSOCIADOS – ADVOGADOS, por sua área especializada em privacidade, proteção de dados, inovação e tecnologia vem assessorando seus clientes na adequação de seus processos e atividades à legislação de proteção de dados e demais normas vigentes.
Este conteúdo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria, recomendação ou orientação técnica e/ou legal para casos concretos a respeito dos temas aqui abordados.
