search

O que fazer ao tomar conhecimento de algum incidente de vazamento de dados pessoais?

1 anos atrás
Comentários: 0
Visualizações: 170

Resposta

Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento.

Show

Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).

Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.

Exemplos

A organização deve notificar a APD e as pessoas
Os dados dos trabalhadores de uma empresa têxtil foram divulgados. Incluem os seus endereços pessoais, a composição do agregado familiar, o salário mensal e os pedidos de reembolso de despesas médicas de todos os trabalhadores. Neste caso, a empresa têxtil tem de informar a autoridade de controlo sobre a violação. Uma vez que os dados pessoais incluem dados sensíveis, incluindo dados de saúde, a empresa tem de notificar também os trabalhadores.

Um trabalhador de um hospital decide copiar os dados dos doentes para um CD e publicá-los em linha. O hospital descobre o que aconteceu alguns dias depois. Assim que o hospital toma conhecimento do sucedido, tem 72 horas para informar a autoridade de controlo e, uma vez que os dados pessoais em causa contêm informações sensíveis, nomeadamente se um doente tem cancro, se uma mulher está grávida, etc., tem de informar também os doentes. Neste caso, existe a dúvida sobre se o hospital aplicou medidas de proteção técnicas e organizativas adequadas. Caso tivesse aplicado medidas de proteção adequadas (por exemplo, cifragem de dados), a existência de um  risco material seria improvável e o hospital poderia isentar-se da obrigação de notificar os doentes.

A empresa deve notificar os clientes e estes poderão, por sua vez, ter de notificar a APD e o titular dos dados
Um serviço em nuvem perde vários discos rígidos que contêm dados pessoais pertencentes a vários dos seus clientes. Tem de notificar esses clientes assim que tome conhecimento da violação. Os seus clientes têm de notificar a APD e o titular dos dados, consoante os dados que tenham sido tratados pelo subcontratante.

Referências

  • Orientações do CEPD sobre a notificação de uma violação de dados pessoais ao abrigo do Regulamento (UE) 2016/679
  • Artigo 4.º, n.º 12, e artigos 33.º e 34.º; considerandos 85-88 do RGPD

O vazamento de dados na empresa ocorreu! Quando o incidente de segurança é identificado, há uma série de procedimentos a serem seguidos. Por isso, saber e fazer o que deve ser feito é fundamental. Da mesma forma, descobrir como e por que aconteceu incidente de segurança.

Você sabia que a cada 5 segundos ocorre uma tentativa de fraude no Brasil? Sabia que 35% são de compras de celulares com documentos falsos?

Essa é uma indústria sem tamanho, com números assustadores. Está ativa 24 horas, sete dias por semana, sem descanso para coletar dados e utilizá-los em mais e novas fraudes, golpes e causar incidentes de segurança.

Mas, o que fazer, se grande parte da vida e do trabalho ocorrem no meio digital? Sem investir em prevenção (tempo, práticas, tecnologias e ferramentas) é praticamente impossível se livrar de vazamento de dados na empresa.

Em primeiro lugar: calma!

Respire fundo e lembre-se: vazamento de dados ocorrem com bastante frequência.

Evitá-los é possível, acessível e simples. Essa, a boa notícia para empresários que têm um mínimo de conhecimento sobre a necessidade de prevenção contra ciberataques e incidentes de segurança.

O fato é que, coincidência ou não, 100% das empresas que não investem em soluções de tecnologia e compliance em segurança de dados, não conseguem evitar vazamento de dados.

A primeira ação de qualquer empresário, gestor ou profissional de TI é conhecer a situação.

Averiguar o que aconteceu, quando ocorreu e se parou de acontecer!

Em seguida, verificar quais foram os dados expostos e avaliar a extensão dos danos.

Nesse momento, dependendo da cultura e da maturidade corporativa, é hora de começar a agir. De forma prática e rápida, para tentar reduzir os prejuízos do vazamento de dados na empresa.

Sua empresa está pronta para encarar um vazamento de dados?

Essa deveria ser a etapa mais fácil e simples. Afinal, em teoria, bastaria seguir os protocolos, processos e procedimentos preestabelecidos para o caso de vazamento de dados.

É aí que complica: a maioria dos empresários nunca pensou na hipótese de um incidente de segurança.

É um fato lamentável, mas são pouquíssimos os gestores, empresários e profissionais de TI que consideram o risco de ataques cibernéticos.

Um comportamento perigoso que leva a prejuízos certos. Pois, quando não existem cuidados, nem que sejam mínimos, a dor de cabeça é grande.

Ainda mais quando existe a falta da cultura de prevenção e proteção de dados. Um fato que não tem a ver com a maturidade corporativa, mas porque empresas e empresários não têm receio de serem responsabilizados.

Muitas vezes, nem sabem que têm, sim, obrigação e responsabilidade pelos dados que suas empresas coletam, armazenam e tratam.

Ou, falando mais claramente, de forma menos politicamente correta: a falta de fiscalização, responsabilização e penalização é histórica no Brasil.

Uma coisa é certa: as empresas não estavam acostumadas nem tinham medo de pagar por sua ineficiência, imprudência ou negligência com os dados de seus colaboradores, fornecedores e clientes que estão sob sua tutela.

Enfim, esse é um exemplo bastante comum de um tempo que deve deixar de existir. A LGPD, as políticas e as demandas por transparência de dados existem para modificar esse cenário.

Ainda engatinhamos. Mas a proteção de dados (pessoais, sensíveis, sigilosos, biométricos, comportamentais, confidenciais, cadastrais e de navegação) deve cobrar compliance em gestão da segurança de dados – e multar, quando for o caso.

De quem é a responsabilidade sobre vazamento de dados nas empresas?

A responsabilidade de empresas e empresários é impedir, controlar e monitorar comportamentos de risco dos colaboradores.

Porque, quando permitem comportamentos inadequados e/ou impróprios, expõem vulnerabilidades e brechas de segurança:

  • deixam a empresa exposta ao vazamento de dados.
  • sem prevenção e controle, qualquer colaborador pode colocar a empresa em risco.
  • sem processos de compliance, tecnologias e ferramentas de segurança de dados, as empresas facilitam a vida dos cibercriminosos e, pela negligência, se tornam cúmplices em incidentes de segurança.

É obrigação de empresários, gestores e profissionais de TI preservar a integridade e a privacidade de dados. Para isso, podem e devem investir em soluções e tecnologias eficientes em segurança digital.

Vazamento de dados: o que fazer?

Não deixe de assistir a esse vídeo. Vale muito a pena ver e aprender com a discussão sobre segurança digital e vazamento de dados.

De uma forma bastante didática e leve, o programa Opinião, da TV Cultura, aprofunda a questão. Traz boas informações sobre vazamento de dados e sobre o impacto do fator humano.

Com a participação da advogada e doutora em Direito Nathalie Fragoso e do professor de Segurança e Auditoria da ESPM Osmany Arruda, a jornalista e apresentadora Andressa Boni conduz o programa.

Juntos, respondem à seguinte pergunta: qual é a explicação para essas falhas de segurança e quais as consequências e riscos?

Afinal, informação e conhecimento são fundamentais contra o vazamento de dados nas empresas.

Assim como minimizar o impacto do fator humano. Para prevenir contra os principais riscos, brechas de segurança, vulnerabilidades e situações nas quais a proteção de dados é ameaçada.

E agora, sua empresa tem cultura e maturidade para fazer o que precisa?

Com muitas variáveis envolvidas, nem sempre é um assunto fácil de tratar dentro das empresas, entre gestores e colaboradores.

Até porque, do lado dos cibercriminosos, sempre há tempo e não existem regras para inventar um jeito novo de burlar e ameaçar a segurança de dados.

Enquanto isso, no lado “do bem”, as regras, maneiras e formas de prevenir, proteger e evitar riscos cibernéticos levam mais tempo e dependem das práticas do dia a dia para garantir a segurança de dados nas empresas.

Por isso que a tecnologia é uma aliada poderosa das empresas para contra incidentes de segurança. Especialmente, contra vazamento de dados. Afinal, empresários e funcionários direcionam seu tempo para produzir e gerar lucros.

Nesse sentido, a busca por soluções de tecnologia eficientes anda ao lado da formação da cultura e da compliance em segurança de dados.

Se por um lado não existe empresa sem pessoas, por outro, são elas que fazem acontecer o empreendimento comercial. Isto porque empresários e colaboradores são responsáveis por tudo que acontece no mundo corporativo. O bom e o ruim.

Essa perspectiva faz toda a diferença na gestão e no combate institucional aos incidentes de segurança. Pois os colaboradores são a porta de entrada de ataques cibernéticos e do vazamento de dados nas empresas.

Por isso, é preciso fazer o que deve ser feito: treinar funcionários, estruturar e implementar a política de segurança de dados e de gestão do acesso à internet. Certamente, medidas tão relevantes quanto soluções, tecnologias e sistemas de segurança.

O que deveria ocorrer após um vazamento de dados na empresa?

Depois de avaliar o tamanho do problema, é hora de aprender, para evitar.

Como aconteceu e por que aconteceu também são questões importantes. No entanto, são para um segundo momento e para empresas maduras, com cultura e compliance em gestão da segurança de dados.

É isso o que empresas maduras fazem: erram e aprendem com seus erros. Assim, cuidando para nunca repetir desacertos, é que se vai mais longe e com mais sucesso.

Essas, são as respostas mais difíceis de serem apuradas e averiguadas. Sem dúvida, porque dependem de uma série de fatores, elementos e processos presentes, ou não, nas empresas.

Certamente, são muitas as variáveis. Mas, vou citar apenas as duas mais eficazes contra o acesso indevido, a coleta não autorizada e a exposição e/ou venda de dados pessoais, sensíveis ou sigilosos.

Por isso, são processos e elementos indispensáveis contra vazamento de dados na empresa:

  • políticas de acesso e controle da internet;
  • tecnologias e ferramentas para prevenir incidentes de segurança.

Veja o que fazer no caso de vazamento de dados

O que vazou? Por que vazou? Como os titulares dos dados devem agir para minimizar riscos, danos e prejuízos? Essas são as três questões que as empresas devem avaliar, registrar e informar, respectivamente.

Minimamente, também são essas as informações que devem constar no quarto passo básico e obrigatório após um vazamento de dados na empresa: notificar.

Pesquisamos um conjunto de procedimentos para logo após um vazamento de dados. Veja as melhores recomendações e providências:

Informe-se

Se receber notificações ou souber pela mídia de algum vazamento, informe-se e tente identificar quais dados vazaram (isso ajuda a saber quais medidas tomar).

Procure saber quais medidas foram ou serão tomadas, quais devem ser seguidas, as datas do potencial vazamento e sobre comunicados e notícias a respeito.

Evite acessar sites e abrir arquivos que supostamente confirmem ou exibam os dados do vazamento. Em caso de dúvida, contate diretamente as organizações envolvidas e busque mais informações.

O que fazer em caso de

Credenciais de acesso vazadas: troque imediatamente as senhas expostas. Ative a verificação em duas etapas nas contas que ofereçam esse recurso, caso ainda não tenha feito. Use os mecanismos disponíveis para analisar os registros de acesso e denunciar tentativas/acessos indevidos.

Cartões de crédito ou débito vazados: informe as instituições emissoras dos cartões. Revise o extrato dos seus cartões e da sua conta bancária. Conteste os eventuais lançamentos irregulares que identificar, via os canais oficiais das respectivas instituições.

A quem recorrer

Caso verifique que seus dados foram usados de maneira fraudulenta ou você foi prejudicado de alguma forma.

Fraude financeira: contate as instituições envolvidas e siga as orientações recebidas.

Furto de identidade: registre o Boletim de Ocorrência junto à autoridade policial, para viabilizar a apuração e resguardar-se. Contate as instituições envolvidas.

Vazamento de dados pessoais: quando a empresa é controladora de dados, precisa estar pronta para comunicar e prestar informações sempre que solicitado. Caso a empresa não atenda a essas solicitações, pode sofrer denúncia à Autoridade Nacional de Proteção de Dados (ANPD).

Disponibilize informações sobre quais dados foram vazados; quando teve ciência do vazamento; se acredita os dados pessoais foram indevidamente usados em alguma ação criminosa (como estelionato, fraude ou comércio ilegal de dados pessoais) e quais evidências para confirmar essa hipótese.

Essas e outras informações estão presentes na Cartilha de Segurança para Internet – Fascículo Vazamento de Dados, produzida por cert.br, nic.br e cgi.br, com a contribuição da Autoridade Nacional de Proteção de Dados (ANPD).

O que fazer no caso de vazamento de dados pessoais

É obrigação comunicar à ANPD sempre que acontecer o vazamento de dados pessoais que possa acarretar risco ou dano relevante aos titulares.

Toda empresa deve seguir esses quatro passos:

  • Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados pessoais afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.
  • Comunicar ao controlador, se você for o operador, nos termos da LGPD.
  • Comunicar à ANPD e aos titulares de dados, em caso de risco ou dano relevante aos titulares.
  • Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

A ANPD recomenda posição de cautela. Isto é, a comunicação de incidentes de segurança deve ser efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.

Ressalta que a subavaliação dos riscos e danos por parte das empresas, pode ser considerada descumprimento à legislação de proteção de dados pessoais.

Por isso, a comunicação precisa ser bastante detalhada e acompanhada de documentos, para auxiliar a avaliar o incidente, os riscos e as medidas tomadas.

A ANPD disponibiliza neste link um formulário para comunicação de incidentes e geração do relatório do incidente de segurança.

Os titulares dos dados pessoais têm uma série de direitos e podem exigir informações. É fundamental que as empresas se conscientizem disso.

Pois, o não cumprimento da legislação, será objeto de fiscalização da ANPD. E, o descumprimento em disponibilizar informações, por exemplo, pode culminar em sanções.

Esse conteúdo está disponível no site da ANPD. Acesse a matéria completa sobre incidentes de segurança com dados pessoais clicando nesse link.

O que fazer quando e-mail ou senha são expostos

Veja os caminhos mais fáceis e menos dolorosos.

  • Senha: troque a combinação por outra mais segura e use um método de verificação em duas etapas.
  • E-mail: evite abrir links e anexos de remetentes desconhecidos, redobre a atenção para as mensagens recebidas.

Redobrar a atenção é essencial. Uma vez que os dados ficam expostos, é quase impossível tirá-los da internet. Por isso, tentativas de golpes, que já são comuns, passam a ficar ainda mais bem elaboradas. Afinal, quando cibercriminosos têm informações pessoais precisas, passam a ter maiores chances de confundir usuários durante a abordagem.

Matéria completa: O que fazer em caso de vazamento de dados pessoais?

5 passos para enfrentar um vazamento de dados na empresa

Implementar soluções, ferramentas e processos de compliance de proteção de dados. Veja o que mais é necessário para enfrentar um vazamento de dados na empresa e outros incidentes de segurança.

  1. Investir e aprimorar as medidas de gestão e controle do acesso à internet e de segurança da informação e de dados.
  1. Estruturar uma política de acesso à internet, controle e segurança de dados em acordo com as normas existentes e a legislação (LGPD).
  1. Criar e manter uma equipe de gestão de crises. Pessoal qualificado que deve saber o que fazer, como fazer e quando fazer para ficar à frente da empresa e das ações durante vazamento de dados na empresa ou outros incidentes de segurança.
  1. Planejar e incorporar à política de controle e política de acesso à internet, controle e segurança de dados, um plano tático e operacional para momentos de crise. Será a cartilha que a equipe de gestão de crises deverá seguir.
  1. Notificar as vítimas (titulares dos dados vazados) e a Autoridade Nacional de Proteção de Dados (ANPD). No mínimo, a empresa deve completar o formulário de comunicação de incidentes disponibilizado pela ANPD (clique aqui para acessar).

Prevenção e informação são palavras-chave contra incidentes de segurança

Estar bem-informado, aprender sobre vazamento de dados e agir de forma preventiva contribuem para reduzir danos, evitar prejuízos e preservar a reputação de sua empresa.

Processos de gestão e controle do acesso à internet não precisam ser difíceis nem complexos. Investir em soluções para prevenir incidentes de segurança da informação é a estratégia mais acessível e inteligente.

É essencial para sua empresa agir de acordo com a legislação (LGPD). Também, para preservar direitos de privacidade e de segurança de dados pessoais de usuários/consumidores/cidadãos.

Na prática, além da prevenção, as melhores soluções do mercado têm tecnologias que contribuem para melhorar os indicadores de produtividade e de lucratividade. Basta pesquisar e comparar.

Assine nossa newsletter semanal e receba mais notícias e materiais.

O que se deve ser feito em caso de incidente de dados pessoais?

Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Artigo 48 da LGPD). Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art.

Qual é a conduta recomendada no caso de vazamento de dados?

5°, VIII da LGPD, é preciso comunicar o vazamento de dados ao encarregado/DPO; Se você for o operador, deve comunicar o incidente ao controlador nos termos da LGPD; Agora, chegou a hora de comunicar o vazamento à ANPD e também ao titular de dados (caso haja riscos ou danos relevantes aos titulares).

O que fazer caso ocorra um incidente de segurança de informação?

Ao ter ciência sobre qualquer incidente com dados , é preciso comunicar imediatamente o Comitê de Privacidade (ou qualquer outra equipe correspondente) e o Encarregado pelo Tratamento de Dados Pessoais (DPO), que deverão acionar o Departamento de Tecnologia da Informação e o Departamento Jurídico.

O que é um vazamento de dados e o que fazer caso ocorra um?

Um vazamento de dados é definido como um incidente de segurança em que dados pessoais e/ou informações privadas e sigilosas são expostos publicamente ou a terceiros sem autorização.

fazer ao tomar conhecimento de algum incidente de vazamento de dados pessoais LGPD Dados pessoais sensíveis Google translate ANPD Brasil Spanish to english Translate to english

Postagens relacionadas

Mensagem de pai para filha de aniversario
Mensagem de pai para filha de aniversario

De onde vem a fortuna de chiquinho scarpa
De onde vem a fortuna de chiquinho scarpa

Os 19 descanso de panela silicone para comprar mais em 2022
Os 19 descanso de panela silicone para comprar mais em 2022

É verdadeiro afirmar que a superfície terrestre é composta por 70% de água justifique?
É verdadeiro afirmar que a superfície terrestre é composta por 70% de água justifique?

De quem Pedro Leonardo e filho?
De quem Pedro Leonardo e filho?

Quais outros equipamentos facilitam a vida de pessoas com deficiência auditiva
Quais outros equipamentos facilitam a vida de pessoas com deficiência auditiva

Garota de programa de campina grande
Garota de programa de campina grande

Quando fazer lavagem nasal em bebê
Quando fazer lavagem nasal em bebê

Por que muitos historiadores não aceitam usar o termo descobrimento para se referir a chegada dos europeus ao continente americano?
Por que muitos historiadores não aceitam usar o termo descobrimento para se referir a chegada dos europeus ao continente americano?

Qual é a melhor antena de TV interna?
Qual é a melhor antena de TV interna?

Publicidade

ÚLTIMAS NOTÍCIAS

O que é artesanato na indústria moderna?
1 anos atrás . por ConsecutiveCriminality
Qual foi o impasse que interrompeu a Assembleia dos Estados Gerais
1 anos atrás . por FormalBrunch
Qual a importância do registro fotográfico na Educação Infantil?
1 anos atrás . por UnavoidableDentist
Quais são as doenças do sistema muscular
1 anos atrás . por All-timeSnark
Qual é a importância do fitoplâncton na cadeia alimentar aquática?
1 anos atrás . por YellowishDespotism
Quem é o filho do mussum
1 anos atrás . por ConceivableNexus
Quais são as precárias condições de moradia?
1 anos atrás . por JauntyTicker
Quais as regiões metropolitanas maiores do Brasil?
1 anos atrás . por WillingBedtime
Como o polimorfismo genético pode afetar a ação dos fármacos?
1 anos atrás . por BronchialProrogation
Www teste de fudelidade com
1 anos atrás . por VaudevilleAppendix

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

homeendefrkoptzhitthjphi
direito autoral © 2024 mempelajari Inc.