Em janeiro, aconteceram diversos eventos relacionados à privacidade de dados que trataram de temas como a LGPD em vigor, os vazamentos de dados recentes, tratamento de cookies, entre outros assuntos.

Um dos temas que foi abordado, foi o de Planos de Resposta a incidentes, que inclusive está na Seção II, da Lei Geral de Proteção de Dados (nº 13.709/18, § 2º I) implementar programa de governança em privacidade que, no mínimo: g) conte com planos de resposta a incidentes e remediação e eu gostaria de falar um pouco sobre ele.

Por que eu achei importante trazer esse assunto para o blog? Imagina a sua empresa se deparando com um vazamento de dados nesse momento, o que você faria?

Se a sua resposta for “não sei” ou então “ah, talvez eu chame o cara da T.I.”, saiba que você tem muito trabalho pela frente.

O plano de resposta a incidentes deve conter todas as informações que a organização dispor em relação ao que aconteceu e o que será feito para mitigar os possíveis efeitos desse vazamento.

Mas aí entra a parte interessante: como eu vou saber quais são esses possíveis efeitos?

Começando pelo começo…

Mapeie os dados

Todo mundo já está cansado de ouvir sobre “mapeamento de dados”, mas ele é tão importante e tão subestimado que eu quis trazer novamente. Sim, essa parte é crucial em todos os seus processos, mapeie esses dados, entenda onde começa a coleta, onde ela termina, o porquê da sua existência, por quanto tempo, com quem é compartilhado e a sua frequência. São muitas perguntas e todas elas são importantes para você conhecer o seu cenário

Plano de ação

Agora, coloque em prática todo o conhecimento adquirido em relação à proteção de dados e adeque ao cenário da sua empresa em consenso com a sua cultura e objetivos estratégicos. Crie ações de redução de coleta de dados onde não for preciso, políticas de privacidade, de cookies e todas as outras políticas que já sabemos e que são necessárias.

Então deixo aqui uma sugestão de Framework: a ISO 27001:2013 e também a ISO 27701:2019 que discorrem sobre a importância da privacidade de dados e abordam controles importantes para apoiar na segurança da informação e privacidade de dados.

Gestão de riscos

Temos várias outras atividades que poderiam se encaixar nesse “roteiro” de adequação que não são o foco desse artigo, mas finalmente chegamos à gestão de riscos. Eu amo estudar e analisar riscos e é incrível como as pessoas se perdem, se descabelam, e ficam a flor da pele quando trazemos o assunto à tona.

A gestão de risco, mesmo sem o contexto LGPD, é tão importante que os frameworks sempre a mencionam, como, por exemplo, as ISOs que trouxeram a “mentalidade de risco” como parte obrigatória nas suas certificações. Isso demonstra a importância de uma gestão de riscos eficaz. Inclusive temos vários artigos no blog que falam sobre isso.

Agora, voltando à pergunta, se acontecesse um vazamento de dados hoje na sua empresa, o que você faria?

Com os dados mapeados, sabendo exatamente o caminho que percorrem, uma análise de riscos já existente do tratamento desses dados, fala sério, não é muito mais fácil responder essa pergunta?

A própria LGPD traz a necessidade da criação de um Relatório de Impacto a Privacidade de Dados, e, no começo, foi um pouco complicado entender exatamente o que precisaria ser feito para atender a essa demanda. Mas uma coisa é certa, e que vários especialistas têm dito: não deixe para fazer quando acontecer um incidente, já tenha o RIPD pronto.

No meio de um incidente, vamos utilizar o exemplo de vazamento, os responsáveis pelos dados não terão capacidade de executar um bom relatório de impacto de privacidade de dados, pois estarão mais preocupados em executar ações de mitigação dos efeitos desse risco. É tipo pedir para o bombeiro parar de apagar o fogo e preencher um relatório, sério, o que é mais importante naquele momento?

Sendo assim, quanto antes você tiver essa análise de risco e um plano de resposta aos incidentes, pronto, melhor você se sairá desse contexto. Lembre-se: a gestão de riscos é preventiva, quando acontece o incidente, é tarde demais. Aqui, no contexto desse artigo, os esforços devem estar voltados às ações de mitigação e isolamento do incidente, dentre outras ações que serão necessárias, como comunicações aos titulares, ANPD, ações voltadas ao plano de resposta a incidentes.

Mas sabemos que o importante mesmo é fazer uma boa gestão de riscos, criar uma Governança de Dados estruturada e real, com capacitações, treinamentos, conscientização dos seus colaboradores e parceiros de negócio.

Privacidade de dados é coisa séria, não deixe para última hora. O auxílio de um consultor e ferramentas que te ajudem a fazer essa gestão são investimentos, se estiver com dificuldades, considere isso.

Até mais.

Fonte: Blog da Qualidade