WhatsApp

Regulamento de Comunicação de Incidentes de Segurança: Principais Pontos de Atenção, Riscos e Preparação para as Empresas

Grupo de profissionais preocupados com as regras para comunicar incidentes

A Resolução CD/ANPD Nº 15, de 24 de abril de 2024, trouxe mudanças significativas para as empresas no que tange à comunicação de incidentes de segurança. Este regulamento, aprovado pela Autoridade Nacional de Proteção de Dados (ANPD), estabelece os procedimentos para comunicar incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais. A seguir, destacamos os principais pontos de atenção, os riscos envolvidos e como as empresas podem se preparar para cumprir essas novas exigências.

Principais Pontos de Atenção para Comunicação de Incidentes de Segurança

  1. Obrigatoriedade de Comunicação:

    • Empresas devem comunicar à ANPD e aos titulares de dados qualquer incidente de segurança que possa acarretar risco ou dano relevante.
    • A comunicação deve ser feita no prazo de três dias úteis a partir do conhecimento do incidente​.

  2. Critérios de Risco ou Dano Relevante:

    • Incidentes que envolvam dados pessoais sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional, ou dados em larga escala devem ser comunicados​.

  3. Conteúdo da Comunicação:

    • A comunicação deve incluir a descrição da natureza e da categoria dos dados pessoais afetados, número de titulares afetados, medidas de segurança adotadas, riscos relacionados ao incidente, e medidas para reverter ou mitigar os efeitos do incidente​.

  4. Transparência e Relacionamento com Titulares:

    • Seja direto ao se comunicar, utilizando linguagem habitual ao titular de dados, através dos canais normais de comunicação com eles.

  5. Manutenção de Registros:

    • Empresas devem manter registros de todos os incidentes de segurança, mesmo aqueles não comunicados à ANPD, pelo prazo mínimo de cinco anos​

Esconder Incidentes de Segurança Gera Riscos ao Seu Negócio

  1. Multas e Sanções:

    • O não cumprimento dos prazos e requisitos de comunicação pode levar à imposição de multas diárias e outras sanções administrativas por parte da ANPD​.

  2. Danos à Reputação:

    • A divulgação inadequada ou tardia de incidentes pode resultar em perda de confiança por parte dos clientes e danos significativos à reputação da empresa.

  3. Impactos Financeiros:

    • Incidentes de segurança podem levar a fraudes financeiras, roubo de identidade e outros danos materiais que impactam diretamente as finanças da empresa e dos titulares de dados​​.

Como se Preparar

  1. Desenvolvimento de Políticas Internas:

    • Criação e implementação de políticas claras de comunicação de incidentes de segurança, alinhadas com o regulamento da ANPD.

  2. Treinamento e Conscientização:

    • Treinamento contínuo dos colaboradores sobre a importância da proteção de dados e os procedimentos a serem seguidos em caso de incidente de segurança.

  3. Avaliação de Riscos:

    • Realização de avaliações periódicas de riscos para identificar vulnerabilidades e implementar medidas de segurança adequadas.

  4. Plano de Resposta a Incidentes:

    • Estabelecimento de um plano de resposta a incidentes detalhado, que inclua procedimentos para comunicação, mitigação e correção de incidentes de segurança.

  5. Tecnologia e Ferramentas:

    • Investimento em tecnologias de segurança avançadas e ferramentas de monitoramento para detectar e responder rapidamente a incidentes de segurança.

Escritório de Privacidade LGPD2U: Seu Parceiro na Conformidade

Na LGPD2U, entendemos os desafios que as empresas enfrentam para cumprir as exigências da LGPD e as novas regulamentações da ANPD. Nosso Escritório de Privacidade oferece um serviço completo de gestão de privacidade e segurança da informação, garantindo que sua empresa esteja sempre em conformidade.

Nossa equipe de especialistas está preparada para:

  • Elaborar Políticas e Procedimentos: Desenvolvemos e mantemos políticas internas alinhadas com as melhores práticas e exigências regulatórias.
  • Treinamento Personalizado: Oferecemos programas de treinamento e conscientização adaptados às necessidades da sua empresa.
  • Monitoramento e Resposta a Incidentes: Utilizamos as mais avançadas ferramentas de monitoramento para detectar e responder a incidentes de segurança rapidamente.

Conclusão

A conformidade com o novo regulamento é essencial não apenas para evitar sanções, mas também para proteger os direitos dos titulares e manter a confiança dos clientes. Com o Escritório de Privacidade da LGPD2U, sua empresa estará melhor posicionada para lidar com incidentes de segurança de forma eficiente e transparente. Entre em contato conosco e saiba como podemos ajudar a sua empresa a se preparar e a cumprir todas as exigências regulatórias.

Compartilhar:

LGPD2U

FORM PRINCIPAL

Okto Full

O Okto Full é a solução completa para empresas que desejam terceirizar integralmente a governança de privacidade, contando com a experiência e a estrutura da LGPD2U em todas as etapas do programa.

Além de incluir tudo o que já está presente nos outros planos, o Okto Full se diferencia pela execução completa das atividades operacionais pela nossa equipe. Nós estruturamos, gerenciamos e executamos todas as frentes de trabalho contratadas, participando ativamente do planejamento, condução de reuniões, comitês e tomadas de decisão.

É ideal para organizações que não possuem equipe dedicada ou que desejam focar seus esforços em outras áreas do negócio.

Também podemos ser formalmente nomeados como Encarregada de Proteção de Dados (DPO), oferecendo suporte técnico, jurídico e consultivo de ponta a ponta.

Okto Smart

Ideal para empresas que já possuem uma estrutura interna, o Okto Smart combina tecnologia com apoio estratégico e consultivo. Além do uso da plataforma DPOnet, o plano inclui consultoria contínua para estruturação e gestão da governança de privacidade, abrangendo mapeamentos, políticas, planos, relatórios e suporte técnico e jurídico reativo.

Realizamos reuniões regulares com o cliente, oferecendo orientação especializada em cada etapa da jornada. A execução operacional permanece sob responsabilidade da empresa, enquanto a LGPD2U estrutura, acompanha, orienta e gerencia todas as frentes do programa.

Também podemos ser formalmente nomeados como Encarregada de Proteção de Dados (DPO), conforme a necessidade da organização.

Okto Base

O Okto Base é ideal para empresas que desejam operar de forma autônoma na gestão da privacidade, com baixo custo e acesso a ferramentas confiáveis. Este plano inclui o fornecimento da plataforma DPOnet, com suporte técnico e jurídico focado exclusivamente no uso da solução.

É a escolha certa para organizações com estrutura interna e foco em uma gestão independente, que não demandam apoio consultivo, estruturação de governança ou participação em reuniões e comitês. Os indicadores, relatórios e planos de ação disponíveis são os gerados diretamente pela plataforma.

Neste plano, todas as atividades são executadas pela própria empresa, com suporte da LGPD2U apenas para o uso adequado da tecnologia contratada.