Aula 22 - Resposta a Incidentes de Segurança

Prévia do material em texto

INCIDENTES 
DE SEGURANÇA E 
DE PRIVACIDADE
Clara Amédée Péret Motta - 14413498631
CONCEITO DE 
INCIDENTE
• LGPD: “Art. 46: Os agentes de tratamento 
devem adotar medidas de segurança, 
técnicas e administrativas aptas a proteger 
os dados pessoais de acessos não 
autorizados e de situações acidentais ou 
ilícitas de destruição, perda, alteração, 
comunicação ou qualquer forma de 
tratamento inadequado ou ilícito.
• Pilares:
• Confidencialidade
• Integridade
• Segurança
Clara Amédée Péret Motta - 14413498631
Fonte: https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt/pdf
VALORES
Clara Amédée Péret Motta - 14413498631
PANORAMA
Clara Amédée Péret Motta - 14413498631
CENTROS 
DE CUSTO
Clara Amédée Péret Motta - 14413498631
PREJUÍZO 
TOTAL
MÉDIO
Clara Amédée Péret Motta - 14413498631
POR 
CATEGORIA
Clara Amédée Péret Motta - 14413498631
POR PAÍS 
(US$)
Clara Amédée Péret Motta - 14413498631
PRINCIPAIS 
CAUSAS
Clara Amédée Péret Motta - 14413498631
PRINCIPAIS 
CAUSAS
Clara Amédée Péret Motta - 14413498631
ATAQUES 
MAL-
INTENCIONADOS
Clara Amédée Péret Motta - 14413498631
BRASIL
Clara Amédée Péret Motta - 14413498631
INCIDENTE: 
POR QUE ENDEREÇAR?
Clara Amédée Péret Motta - 14413498631
Por que endereçar? Riscos
Reputacionais: prejuízos ao nome e marca da Companhia; eventuais abalos em negociações em prospecção 
ou em andamento; quedas no valuation; etc.
14
Jurídicos:
» SENACON – Secretaria Nacional do Consumidor
» ANPD será criada para aplicação das 
sanções previstas no art. 52 da LGPD, 
especialmente:
• multa de até R$ 50M
• publicização da infração
• bloqueio e eliminação dos 
dados pessoais
• suspensão parcial ou total das 
atividades por até 1 ano
• proibição parcial ou total das 
atividades por até 1 ano
» Demais entidades setoriais
Ø Sanções de ordem administrativa: Ø Indenizações cíveis:
» Coletiva (MP, associações, etc.)
» Multiplicação de ações individuais (Dano Moral in 
re ipsa)
Ø Responsabilidade contratual
Clara Amédée Péret Motta - 14413498631
Por que endereçar? Riscos
Ementa:
RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO.
SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL.
BANCO DE DADOS. COMPARTILHAMENTO DE
INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO.
VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO:
CPC/15.
5. A gestão do banco de dados impõe a estrita observância 
das exigências contidas nas respectivas normas de regência 
— CDC e Lei 12.414/2011 — dentre as quais se destaca o 
dever de informação, que tem como uma de suas vertentes o 
dever de comunicar por escrito ao consumidor a abertura de 
cadastro, ficha, registro e dados pessoais e de consumo, 
quando não
solicitada por ele.
6. O consumidor tem o direito de tomar conhecimento
de que informações a seu respeito estão sendo
arquivadas/comercializadas por terceiro, sem a sua
autorização, porque desse direito decorrem outros dois
que lhe são assegurados pelo ordenamento jurídico: o
direito de acesso aos dados armazenados e o direito à
retificação das informações incorretas.
7. A inobservância dos deveres associados ao
tratamento (que inclui a coleta, o armazenamento e a
transferência a terceiros) dos dados do consumidor —
dentre os quais se inclui o dever de informar — faz
nascer para este a pretensão de indenização pelos danos
causados e a de fazer cessar, imediatamente, a ofensa
aos direitos da personalidade.
11. Hipótese em que se configura o dano moral in re
ipsa.
Clara Amédée Péret Motta - 14413498631
Por que endereçar? Riscos
Voto:
De fato, as informações sobre o perfil do consumidor,
mesmo as de cunho pessoal, ganharam valor econômico no
mercado de consumo e, por isso, o banco de dados constitui
serviço de grande utilidade, seja para o fornecedor, seja para o
consumidor, mas, ao mesmo tempo, atividade potencialmente
ofensiva a direitos da personalidade deste.
Isso porque, em qualquer das circunstâncias, tem o
consumidor o direito de tomar conhecimento de que
informações a seu respeito estão sendo arquivadas/
comercializadas por terceiro, sem a sua autorização, porque
desse direito decorrem outros dois que lhe são assegurados
pelo ordenamento jurídico: o direito de acesso aos dados
armazenados e o direito à retificação das informações
incorretas.
Assim, a inobservância de qualquer dos deveres
associados ao tratamento (que inclui a coleta, o
armazenamento e a transferência a terceiros) dos dados do
consumidor — dentre os quais se inclui o dever de
informar — faz nascer para este a pretensão de
indenização pelos danos causados e a de fazer cessar,
imediatamente, a ofensa aos direitos da personalidade.
Fonte: STJ, REsp nº 1.758.799/MG, 3ª Turma, Rel. Min. Nancy Andrigui, j. 19.11.2019, 
DJe 19.11.2019.
Clara Amédée Péret Motta - 14413498631
Por que endereçar? Retorno positivo
17
Reputacionais: bom retorno reputacional pela rápida atuação em resposta ao incidente
Minimização de danos
Critério para redução de sanções:
Ø São levados em consideração para aplicação das sanções administrativa (art. 52, §1º):
» Boa-fé do infrator da lei
» A adoção reiterada e demonstrada de mecanismos e boas práticas de governança em 
padrões altos de privacidade
» Pronta adoção de medidas corretivas
Ø SENACON (Portaria nº 7/2016)
» A pena base pode ser atenuada de 1/3 à metade se a empresa adotou 
tempestivamente as providências para minimizar ou reparar os efeitos do ato lesivo
Clara Amédée Péret Motta - 14413498631
E a LGPD?
Princípio do livre acesso: garantia, aos titulares, de
consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a
integralidade de seus dados pessoais (LGPD, art. 6º,
IV)
18
Princípio da segurança: utilização de medidas
técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão (LGPD, art. 6º,
VII)
Princípio da prevenção: adoção de medidas para
prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais (LGPD, art. 6º, VIII)
Princípios da responsabilização e prestação de
contas: demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância
e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas (LGPD,
art. 6º, X)
Boa prática de governança: a implementação de
um programa de governança em privacidade
que, no mínimo, conte com planos de resposta a
incidentes e remediação (LGPD, art. 50, §2º, I, g)
Clara Amédée Péret Motta - 14413498631
E a LGPD?
19
19
19
Dever do controlador comunicar:
19
» À ANPD
» Aos titulares de dados pessoais afetados
E o operador? Lei é omissa
Quando o incidente de segurança possa
acarretar risco ou dano relevante aos
titulares
Em prazo razoável: a ser definido pela ANPD
» A descrição da natureza dos dados 
pessoais afetados
» As informações sobre os titulares 
envolvidos
» As medidas técnicas e de segurança
utilizadas para a proteção de dados
» Os riscos relacionados ao incidente
» Os motivos da demora, no caso de a
comunicação não ter sido imediata
» As medidas que foram ou que serão
adotadas para reverter ou mitigar os
efeitos do incidente
A ANPD avaliará a gravidade do incidente e
poderá determinar ao controlador a adoção
de providências, tais como:
» Ampla divulgação do fato em meios de 
comunicação
» Medidas para revertes ou mitigar os efeitos do 
incidente
Deverá mencionar, no mínimo:
Clara Amédée Péret Motta - 14413498631
INCIDENTE E O 
COMPLIANCE
Clara Amédée Péret Motta - 14413498631
Compliance
Criação do 
Mercado
Liberdade
Econômica
Direito Penal
Econômico
Crises do 
capitalismo: 
Direito
Econômico Compliance
Clara Amédée Péret Motta - 14413498631
Compliance
• Autorregulação regulada
• Governança corporativa
• Relações de agência
• Transparência
• Accountability
• Responsabilidade social e ética
Clara Amédée Péret Motta - 14413498631
Compliance Digital
§ Compliance digital:
§ Transferência para as organizaçõesparticulares da tarefa de
conformidade
§ Digital:
§ Exercício da tarefa de conformidade imersas na realidade pautada
de sociedade da informação e da quarta revolução industrial
§ Desafios: nova formatação de ilicitude
§ Instrumentalidade: novas ferramentas para formatação de
conformidade
Clara Amédée Péret Motta - 14413498631
Compliance Digital
Lei nº 12.846/2013 Dec. nº 8.420/2015
Marco Civil da Internet LGPD
Clara Amédée Péret Motta - 14413498631
Pontos do plano de conformidade em privacidade efetivo
Mapeamento de riscos
25
Estruturação normativa e de medidas (código de 
conduta, políticas, adequação de contratos, 
estruturação para resposta aos titulares de dados 
pessoais, etc.)
Comprometimento da alta 
administração
Qualificação de quem executa o 
programa (DPO e apoio externo 
jurídico e técnico)
Estruturação de área interna (comitê 
de privacidade, fluxos de trabalho, 
cadeias de validação, etc.)
Due diligences
Canais de denúncia
Comunicação e treinamento
Revisão e atualização constantes, inclusive nos 
contratos
Resposta efetiva a incidentes de segurança em 
dados pessoais
Clara Amédée Péret Motta - 14413498631
LGPD
Art. 50.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o
volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos
dados, poderá:
I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma
abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de
participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade
nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma
independente, promovam o cumprimento desta Lei.
Clara Amédée Péret Motta - 14413498631
MEDIDAS 
PREVENTIVAS
Clara Amédée Péret Motta - 14413498631
MEDIDAS PREVENTIVAS
Mapeamento e a manutenção dos
registros das operações de
tratamento de dados pessoais (LGPD,
art. 37) evidencia para os agentes de
tratamento o volume, a criticidade
dos dados tratados e viabiliza o cross-
checking (data breach fingerprint)
Medidas organizacionais, incluem um
plano de resposta a incidentes e
remediação, idealmente elaborado
em colaboração por diversos
departamentos.
Definição do papel do DPO
Investigação por meio de equipe
interna ou terceirizada? Quais as
empresas terceirizadas de
confiança? Agentes externos podem
ser imparciais?
Designação de um Comitê de Crise
Multidisciplinar (DPO, Jurídico,
Segurança da Informação,
Compliance, Gerenciamento de
Riscos, Relações Públicas e
Comunicação)
Quem deve ser notificado dentro da
empresa no caso de data breach?
Todos os funcionários devem estar
cientes desse procedimento
internamente
Clara Amédée Péret Motta - 14413498631
MEDIDAS PREVENTIVAS
Ter um playbook que reúna todos
esses pontos e que seja funcional
Previsão nos contratos entre
controladores e operadores
Monitoramento surface web e deep
web constante
Simulações de incidentes para
treinamento e criação de sala de
crise. GDPR (72 horas) e LGPD (prazo
razoável).
Modelos de notificações já
previamente estabelecidos e lista de
autoridades que devem ser
comunicadas
Seguros cibernéticos
Clara Amédée Péret Motta - 14413498631
1
FRENTE
JURÍDICA
FRENTE
TECNOLÓGICA
FRENTE
OPERACIONAL
Clara Amédée Péret Motta - 14413498631
SEGURO CIBERNÉTICO
Segurador: prestador de serviços
Interesse legítimo: cobertura de um risco
- Seguros de danos
- Seguros de pessoas
Tomador: contratante
Segurado: bens expostos ao risco
Beneficiário: indicado para receber os valores
Corretor de seguros: responsável pela intermediação
Clara Amédée Péret Motta - 14413498631
SEGURO CIBERNÉTICO
Interesse
Garantia
Prêmio: valor pago pelo tomador
Risco: causa da contratação e dever de informação
Sinistro: evento previsto na apólice que causa dano
Clara Amédée Péret Motta - 14413498631
SEGURO CIBERNÉTICO
Apólice, inclusive como documento eletrônico
- Prova da existência do contrato de Seguro
- Relaciona todas as condições
- Prêmio
- Coberturas e condições
- Procedimento de regulação
Proposta de Seguro: o aceite é a contratação
- Diferente do “documento de cobertura provisória”,
Clara Amédée Péret Motta - 14413498631
SEGURO CIBERNÉTICO
Objetivo: garantir eventos danos de natureza cibernética
Alguns possíveis sinistros:
- Evento de privacidade: incidentes de segurança em relação aos dados 
pessoais
- Evento de segurança: situações que coloquem a segurança dos 
sistemas em risco ou que lhes provoquem danos
- Evento de mídia negativa: comunicações públicas sobre eventos
cibernéticos
Clara Amédée Péret Motta - 14413498631
SEGURO CIBERNÉTICO
Objetivo: garantir eventos danos de natureza cibernética
Alguns possíveis sinistros:
- Evento de privacidade: incidentes de segurança em relação aos dados 
pessoais
- Evento de segurança: situações que coloquem a segurança dos sistemas
em risco ou que lhes provoquem danos
- Evento de mídia negativa: comunicações públicas sobre eventos
cibernéticos
Clara Amédée Péret Motta - 14413498631
SIMULAÇÃO DE INCIDENTE DE SEGURANÇA - SIS
Objetivos:
Compreender o grau de maturidade da organização 
em relação a possíveis incidentes de segurança, 
incluindo os de dados pessoais
Compreender o grau de maturidade da organização 
em relação a possíveis incidentes de segurança, 
incluindo os de dados pessoais
Providências prévias ao início da simulação (workflow prévio):
1
Reunião de kick-off 
com a apresentação 
de roteiro (passo a 
passo de todo o 
procedimento de 
simulação)
Avaliação da 
estrutura da 
empresa
Mapeamento 
documental
Identificação do ponto 
focal de contato (a pessoa 
que fiscalizará todo o 
processo sem, contudo, 
fornecer qualquer 
informação aos 
colaboradores da 
empresa). Avaliação da 
estrutura da empresa
Esclarecimento de dúvidas finais sobre 
o procedimento (informações sobre 
como a simulação será efetivamente 
implementada e quais recursos 
técnicos serão usados – exemplos: 
simular uma extorsão, notificação de 
autoridade, notícia na imprensa ou 
movimentação em rede social)
2 3 4 5
Clara Amédée Péret Motta - 14413498631
SIMULAÇÃO DE INCIDENTE DE SEGURANÇA - SIS
Descrição detalhada de todo o processo de 
simulação da violação
Eventuais falhas identificadas
Medidas de correção jurídicas a serem adotadas 
para uma boa adequação à LGPD
Apresentação de Relatório Final – RSIS:Realização da simulação 
conforme plano estruturado e 
aceito, com o apoio de 
equipe técnica interna ou 
externa
Clara Amédée Péret Motta - 14413498631
MEDIDAS 
PÓS-INCIDENTE
Clara Amédée Péret Motta - 14413498631
MEDIDAS PÓS-INCIDENTE
• Identificação se os dados envolvidos são ou não da base de dados da empresa
• Identificação se os dados são dados pessoais ou não
• Data Breach Score: classificação do incidente de segurança, dos riscose consolidação da base de dados afetada
• Monitoramento surface web e deep web
• Comunicação de clientes
• Comunicação à Autoridade Nacional de Proteção de Dados – ANPD, Comunicação à Secretaria Nacional do
Consumidor – SENACON e outros órgãos reguladores
• Plano de comunicação à imprensa
• Identificação e coleta das provas digitais (evidências técnicas, entendimento de falhas, usuários envolvidos, etc)
• Ações cíveis (identificação e remoção) e/ou providências criminais
Clara Amédée Péret Motta - 14413498631
MEDIDAS PÓS-INCIDENTE
• Comunicação de clientes
• Comunicação à Autoridade Nacional de Proteção de Dados – ANPD
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante
aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela
autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos
dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos
do prejuízo.
Clara Amédée Péret Motta - 14413498631
MEDIDAS PÓS-INCIDENTE
• Entendimento atual da ANPD:
Clara Amédée Péret Motta - 14413498631
MEDIDAS PÓS-INCIDENTE
• Entendimento atual da ANPD:
Clara Amédée Péret Motta - 14413498631
MEDIDAS PÓS-INCIDENTE
• Entendimento atual da ANPD:
Clara Amédée Péret Motta - 14413498631
MEDIDAS PÓS-INCIDENTE
• Entendimento atual da ANPD:
Clara Amédée Péret Motta - 14413498631
REGULAÇÃO DO SINISTRO
1
2
3
4
- Aviso do sinistro e sua
documentação
- Investigação do incidente e 
preservação das provas
Início do processo de regulação. 
Envolvidos:
- Seguradora
- Segurado
- Corretor
- Regulador
- Escritório jurídico
- Parceiro técnico
Regulação do sinistro:
- Reuniões
- Q&As
- Elaboração de laudos
- Cooperação do segurado
Decisão final e eventual 
jurisdicionalização
Clara Amédée Péret Motta - 14413498631
OBRIGADO
Advogado | Professor
• https://linktr.ee/mauriciotamer
• @mauriciotamer
Clara Amédée Péret Motta - 14413498631