A Lei Geral de Proteção de Dados Pessoais (LGPD) contém, em seu capítulo VII, algumas disposições sobre boas práticas de segurança da informação. No entanto, apesar de abordar o tema, a lei não conceitua o que é um "incidente de segurança da informação". Para os agentes de tratamento que operam no Brasil, essa omissão dificulta de certa forma a identificação e o manejo desses incidentes e como avaliam a necessidade de relatá-los às autoridades competentes.
Embora a LGPD não forneça uma definição clara através de seu artigo 46, caput, a lei revela pelo menos duas situações que podem constituir um incidente de segurança da informação: (i) acesso não autorizado a dados pessoais; e (ii) situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
Assim, a partir do referido artigo, é possível entender que a mensagem do legislador foi no sentido de extrapolar a típica noção de que um incidente seria simplesmente o vazamento de uma base de dados, cometido por um hacker ou outro agente malicioso. Pelo contrário, o legislador buscou deixar claro que qualquer tipo de tratamento inadequado dos dados constitui um incidente de segurança da informação, mesmo que seja de forma culposa (por exemplo, a perda de um pen drive).
A Autoridade Nacional de Proteção de Dados (ANPD) também corrobora com essa interpretação, pois, em seu guia de Comunicação de Incidentes de Segurança (doravante, o Guia), publicado em 2021, a autoridade conceitua o incidente de segurança de forma muito genérica, como um "evento adverso relacionado a uma violação na segurança dos dados pessoais que possa acarretar risco para os direitos e liberdades do titular dos dados".
Apesar do alcance conceitual de um incidente de segurança, sabe-se que nem todos os incidentes devem ser relatados à ANPD ou aos titulares dos dados, mas apenas aqueles que possam causar riscos ou danos relevantes aos titulares (artigo 48, caput, LGPD). Portanto, realizar uma avaliação da gravidade de um incidente é fundamental porque precede, necessariamente, sua eventual comunicação à autoridade competente e também aos titulares de dados.
No entanto, até o momento, a ANPD não publicou nenhuma orientação ou metodologia para analisar a gravidade de um incidente. Vale ressaltar que o mencionado Guia da ANPD indica alguns parâmetros para a avaliação de um incidente, mas não fornece critérios objetivos para interpretá-los. A título de exemplo, o documento indica o "número de titulares afetados" como um parâmetro importante para avaliar a gravidade de um incidente, mas não fornece números objetivos para classificar o incidente como "grave" ou "relevante".
Diante da falta de regulamentação objetiva sobre o tema no Brasil, a alternativa que surge consiste em frameworks e métricas de autoridades e instituições internacionais, como a Agência de Segurança Cibernética da União Europeia (ENISA), a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), o Escritório do Comissário de Informações no Reino Unido (ICO), e outras métricas automatizadas oferecidas por entidades privadas (como a empresa One Trust). Os frameworks dessas instituições podem fornecer critérios objetivos e específicos para a avaliação da gravidade do incidente de segurança.
O framework da ENISA, por exemplo, tem mais de 25 páginas, através das quais é explicada a metodologia adotada pela instituição, as referências técnicas utilizadas (ISO, NIST, etc.), a descrição dos critérios de avaliação e seu uso no caso prático. Os resultados são igualmente claros, podendo indicar a gravidade do incidente como baixa, média, alta e muito alta. No Brasil, o uso de um framework como este é muito útil e prático, tendo em vista que a LGPD exige o relato de incidentes em caso de riscos ou danos relevantes, pode-se entender que apenas os resultados de classificação alta ou muito alta dariam origem, inicialmente, a um relatório à autoridade.
Espera-se que nos próximos meses a ANPD ofereça subsídios regulatórios para que os agentes de tratamento possam realizar uma avaliação de gravidade adaptada à LGPD e à legislação brasileira, já que o tema notificação de incidentes está incluído na agenda regulatória da autoridade para o biênio 2021–2022.
Estes subsídios serão de grande importância para os agentes de tratamento no Brasil; afinal, a resposta a incidentes é um tema que deve ser abordado pela governança de proteção de dados de qualquer organização que maneje dados pessoais. Enquanto isso, recomenda-se que os data protection officers (DPOs, por suas siglas em inglês) e outros profissionais da área façam uso de métricas e frameworks internacionais, como os mencionados neste artigo, evitando critérios próprios ou subjetivos que, em nossa opinião, possam ser contestados pelas autoridades.
Publicado originalmente na data 08/03/2022.
Leia o artigo em:
Comments