Clicky

SEGURANÇA

Abranet: Notificação de incidentes de segurança à ANPD apenas em casos de alta relevância

Convergência Digital ... 26/03/2021 ... Convergência Digital

A Associação Brasileira de Internet (Abranet) encaminhou para a Autoridade Nacional de Proteção de Dados (ANPD) suas contribuições referentes à tomada de subsídios na regulamentação de alguns tópicos da Lei Geral de Proteção de Dados Pessoais (LGPD). No documento, entregue na última quarta-feira (24/3), a entidade propõe que os incidentes de segurança sejam divididos em três níveis, conforme os riscos e potencial de danos. Também aponta quais casos deveriam estar isentos da notificação obrigatória, entre outras sugestões.

Para a Abranet, a notificação à ANPD e aos titulares dos dados só seria obrigatória quando houvesse incidentes considerados de alta relevância. Nesse caso, o incidente teria que possibilitar a identificação dos titulares, tais como nome, CPF, RG e endereço; ou envolver dados sensíveis que não estejam mascarados e que sejam passíveis de associação a seus titulares (ambos independentemente da porcentagem de dados afetados na base do controlador); ou ainda envolver informações que correspondam a mais de 50% da base de dados.

Os casos de baixa e média relevância estariam dispensados da notificação.  Baixa relevância: incidentes cujos dados, isoladamente, não possibilitem a identificação dos titulares; dados mascarados ou criptografados; e dados que correspondam a 30% ou menos da base de dados do controlador. Média relevância: incidentes que não possibilitem a identificação do titular e que os dados correspondam de 30% a 50% a base de dados.

Para não haver dúvidas – No documento, a Abranet propõe que o incidente de segurança não seja considerado relevante quando houver casos de phishing ou compartilhamento de senhas, uma vez que os cuidados com as credenciais de acesso são de responsabilidade do titular e não do controlador. O mesmo se aplicaria no caso de o titular usar a mesma credencial para vários serviços/produtos e ocorrer o vazamento dela.

Outro apontamento importante diz respeito à diferenciação entre risco e dano. “Para que seja considerado dano ao titular é necessário que dano material ou moral tenha de fato ocorrido ao titular dos dados. Enquanto nenhum dano de fato ocorrer, seria classificado como risco.” Exemplo: havendo vazamento de nome, CPF e RG do titular, o incidente entrará na categoria de “risco” até que o titular seja afetado, como, por exemplo, com a tentativa ou realização de fraude financeira e/ou roubo de identidade.

A Abranet também sugere algumas metodologias já consagradas para mensurar e avaliar os riscos e danos: ISO 27001, CERTs, CSIRTs, FIRST, IRM, FAIR e OCTAVE.  Sobre o prazo para notificação, a proposta é que seja feita em até cinco dias, tanto para a ANPD como para os titulares dos dados. Sempre que possível, o incidente deve ser comunicado diretamente ao titular, salvo aqueles que envolvam dados de milhões de usuários. Nesse caso, a comunicação poderia ser pública.

 


Vazamento de dados: Procon/SP diz que Serasa segue com respostas insuficientes

Ao complementar as informações solicitadas pela entidade de Defesa do Consumidor, a Serasa apresentou um paraecer técnico de empresa especializada de que os sistemas da empresa são seguros. Mas o Procon/SP diz que as respostas foram incompletas e pouco esclarecedoras.

Vazamento de dados: Sigilo prepara ação contra as teles e diz que disputa com Serasa não acabou

Instituto vai recorrer da decisão que desobrigou a Serasa a comunicar vazamentos."Não queremos demonizar ninguém, mas vazamentos geram desconfiança", diz o presidente, Victor Gonçalves.

DPO corre risco de ser punido por megavazamentos com base no Código do Consumidor

Ao participar de evento da associação nacional de encarregados de dados, ANPPD, a advogada Patricia Peck advertiu que a ANPD não tem a exclusividade para aplicar sanções. “o Código do Consumidor traz como crime não informar sobre dados tratados ou correções”.

Abranet: Notificação de incidentes de segurança à ANPD apenas em casos de alta relevância

Entidade sugere que os incidentes de segurança só devam ser notificados se envolver, por exemplo, informações que correspondam a mmais de 50% da base de dados.



  • Copyright © 2005-2021 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G