Baixe o app para aproveitar ainda mais
Prévia do material em texto
INCIDENTES DE SEGURANÇA E DE PRIVACIDADE Clara Amédée Péret Motta - 14413498631 CONCEITO DE INCIDENTE • LGPD: “Art. 46: Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. • Pilares: • Confidencialidade • Integridade • Segurança Clara Amédée Péret Motta - 14413498631 Fonte: https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt/pdf VALORES Clara Amédée Péret Motta - 14413498631 PANORAMA Clara Amédée Péret Motta - 14413498631 CENTROS DE CUSTO Clara Amédée Péret Motta - 14413498631 PREJUÍZO TOTAL MÉDIO Clara Amédée Péret Motta - 14413498631 POR CATEGORIA Clara Amédée Péret Motta - 14413498631 POR PAÍS (US$) Clara Amédée Péret Motta - 14413498631 PRINCIPAIS CAUSAS Clara Amédée Péret Motta - 14413498631 PRINCIPAIS CAUSAS Clara Amédée Péret Motta - 14413498631 ATAQUES MAL- INTENCIONADOS Clara Amédée Péret Motta - 14413498631 BRASIL Clara Amédée Péret Motta - 14413498631 INCIDENTE: POR QUE ENDEREÇAR? Clara Amédée Péret Motta - 14413498631 Por que endereçar? Riscos Reputacionais: prejuízos ao nome e marca da Companhia; eventuais abalos em negociações em prospecção ou em andamento; quedas no valuation; etc. 14 Jurídicos: » SENACON – Secretaria Nacional do Consumidor » ANPD será criada para aplicação das sanções previstas no art. 52 da LGPD, especialmente: • multa de até R$ 50M • publicização da infração • bloqueio e eliminação dos dados pessoais • suspensão parcial ou total das atividades por até 1 ano • proibição parcial ou total das atividades por até 1 ano » Demais entidades setoriais Ø Sanções de ordem administrativa: Ø Indenizações cíveis: » Coletiva (MP, associações, etc.) » Multiplicação de ações individuais (Dano Moral in re ipsa) Ø Responsabilidade contratual Clara Amédée Péret Motta - 14413498631 Por que endereçar? Riscos Ementa: RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO. SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL. BANCO DE DADOS. COMPARTILHAMENTO DE INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO. VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO: CPC/15. 5. A gestão do banco de dados impõe a estrita observância das exigências contidas nas respectivas normas de regência — CDC e Lei 12.414/2011 — dentre as quais se destaca o dever de informação, que tem como uma de suas vertentes o dever de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro e dados pessoais e de consumo, quando não solicitada por ele. 6. O consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas. 7. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor — dentre os quais se inclui o dever de informar — faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. 11. Hipótese em que se configura o dano moral in re ipsa. Clara Amédée Péret Motta - 14413498631 Por que endereçar? Riscos Voto: De fato, as informações sobre o perfil do consumidor, mesmo as de cunho pessoal, ganharam valor econômico no mercado de consumo e, por isso, o banco de dados constitui serviço de grande utilidade, seja para o fornecedor, seja para o consumidor, mas, ao mesmo tempo, atividade potencialmente ofensiva a direitos da personalidade deste. Isso porque, em qualquer das circunstâncias, tem o consumidor o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/ comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas. Assim, a inobservância de qualquer dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor — dentre os quais se inclui o dever de informar — faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade. Fonte: STJ, REsp nº 1.758.799/MG, 3ª Turma, Rel. Min. Nancy Andrigui, j. 19.11.2019, DJe 19.11.2019. Clara Amédée Péret Motta - 14413498631 Por que endereçar? Retorno positivo 17 Reputacionais: bom retorno reputacional pela rápida atuação em resposta ao incidente Minimização de danos Critério para redução de sanções: Ø São levados em consideração para aplicação das sanções administrativa (art. 52, §1º): » Boa-fé do infrator da lei » A adoção reiterada e demonstrada de mecanismos e boas práticas de governança em padrões altos de privacidade » Pronta adoção de medidas corretivas Ø SENACON (Portaria nº 7/2016) » A pena base pode ser atenuada de 1/3 à metade se a empresa adotou tempestivamente as providências para minimizar ou reparar os efeitos do ato lesivo Clara Amédée Péret Motta - 14413498631 E a LGPD? Princípio do livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (LGPD, art. 6º, IV) 18 Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (LGPD, art. 6º, VII) Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (LGPD, art. 6º, VIII) Princípios da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (LGPD, art. 6º, X) Boa prática de governança: a implementação de um programa de governança em privacidade que, no mínimo, conte com planos de resposta a incidentes e remediação (LGPD, art. 50, §2º, I, g) Clara Amédée Péret Motta - 14413498631 E a LGPD? 19 19 19 Dever do controlador comunicar: 19 » À ANPD » Aos titulares de dados pessoais afetados E o operador? Lei é omissa Quando o incidente de segurança possa acarretar risco ou dano relevante aos titulares Em prazo razoável: a ser definido pela ANPD » A descrição da natureza dos dados pessoais afetados » As informações sobre os titulares envolvidos » As medidas técnicas e de segurança utilizadas para a proteção de dados » Os riscos relacionados ao incidente » Os motivos da demora, no caso de a comunicação não ter sido imediata » As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente A ANPD avaliará a gravidade do incidente e poderá determinar ao controlador a adoção de providências, tais como: » Ampla divulgação do fato em meios de comunicação » Medidas para revertes ou mitigar os efeitos do incidente Deverá mencionar, no mínimo: Clara Amédée Péret Motta - 14413498631 INCIDENTE E O COMPLIANCE Clara Amédée Péret Motta - 14413498631 Compliance Criação do Mercado Liberdade Econômica Direito Penal Econômico Crises do capitalismo: Direito Econômico Compliance Clara Amédée Péret Motta - 14413498631 Compliance • Autorregulação regulada • Governança corporativa • Relações de agência • Transparência • Accountability • Responsabilidade social e ética Clara Amédée Péret Motta - 14413498631 Compliance Digital § Compliance digital: § Transferência para as organizaçõesparticulares da tarefa de conformidade § Digital: § Exercício da tarefa de conformidade imersas na realidade pautada de sociedade da informação e da quarta revolução industrial § Desafios: nova formatação de ilicitude § Instrumentalidade: novas ferramentas para formatação de conformidade Clara Amédée Péret Motta - 14413498631 Compliance Digital Lei nº 12.846/2013 Dec. nº 8.420/2015 Marco Civil da Internet LGPD Clara Amédée Péret Motta - 14413498631 Pontos do plano de conformidade em privacidade efetivo Mapeamento de riscos 25 Estruturação normativa e de medidas (código de conduta, políticas, adequação de contratos, estruturação para resposta aos titulares de dados pessoais, etc.) Comprometimento da alta administração Qualificação de quem executa o programa (DPO e apoio externo jurídico e técnico) Estruturação de área interna (comitê de privacidade, fluxos de trabalho, cadeias de validação, etc.) Due diligences Canais de denúncia Comunicação e treinamento Revisão e atualização constantes, inclusive nos contratos Resposta efetiva a incidentes de segurança em dados pessoais Clara Amédée Péret Motta - 14413498631 LGPD Art. 50. § 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: I - implementar programa de governança em privacidade que, no mínimo: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. Clara Amédée Péret Motta - 14413498631 MEDIDAS PREVENTIVAS Clara Amédée Péret Motta - 14413498631 MEDIDAS PREVENTIVAS Mapeamento e a manutenção dos registros das operações de tratamento de dados pessoais (LGPD, art. 37) evidencia para os agentes de tratamento o volume, a criticidade dos dados tratados e viabiliza o cross- checking (data breach fingerprint) Medidas organizacionais, incluem um plano de resposta a incidentes e remediação, idealmente elaborado em colaboração por diversos departamentos. Definição do papel do DPO Investigação por meio de equipe interna ou terceirizada? Quais as empresas terceirizadas de confiança? Agentes externos podem ser imparciais? Designação de um Comitê de Crise Multidisciplinar (DPO, Jurídico, Segurança da Informação, Compliance, Gerenciamento de Riscos, Relações Públicas e Comunicação) Quem deve ser notificado dentro da empresa no caso de data breach? Todos os funcionários devem estar cientes desse procedimento internamente Clara Amédée Péret Motta - 14413498631 MEDIDAS PREVENTIVAS Ter um playbook que reúna todos esses pontos e que seja funcional Previsão nos contratos entre controladores e operadores Monitoramento surface web e deep web constante Simulações de incidentes para treinamento e criação de sala de crise. GDPR (72 horas) e LGPD (prazo razoável). Modelos de notificações já previamente estabelecidos e lista de autoridades que devem ser comunicadas Seguros cibernéticos Clara Amédée Péret Motta - 14413498631 1 FRENTE JURÍDICA FRENTE TECNOLÓGICA FRENTE OPERACIONAL Clara Amédée Péret Motta - 14413498631 SEGURO CIBERNÉTICO Segurador: prestador de serviços Interesse legítimo: cobertura de um risco - Seguros de danos - Seguros de pessoas Tomador: contratante Segurado: bens expostos ao risco Beneficiário: indicado para receber os valores Corretor de seguros: responsável pela intermediação Clara Amédée Péret Motta - 14413498631 SEGURO CIBERNÉTICO Interesse Garantia Prêmio: valor pago pelo tomador Risco: causa da contratação e dever de informação Sinistro: evento previsto na apólice que causa dano Clara Amédée Péret Motta - 14413498631 SEGURO CIBERNÉTICO Apólice, inclusive como documento eletrônico - Prova da existência do contrato de Seguro - Relaciona todas as condições - Prêmio - Coberturas e condições - Procedimento de regulação Proposta de Seguro: o aceite é a contratação - Diferente do “documento de cobertura provisória”, Clara Amédée Péret Motta - 14413498631 SEGURO CIBERNÉTICO Objetivo: garantir eventos danos de natureza cibernética Alguns possíveis sinistros: - Evento de privacidade: incidentes de segurança em relação aos dados pessoais - Evento de segurança: situações que coloquem a segurança dos sistemas em risco ou que lhes provoquem danos - Evento de mídia negativa: comunicações públicas sobre eventos cibernéticos Clara Amédée Péret Motta - 14413498631 SEGURO CIBERNÉTICO Objetivo: garantir eventos danos de natureza cibernética Alguns possíveis sinistros: - Evento de privacidade: incidentes de segurança em relação aos dados pessoais - Evento de segurança: situações que coloquem a segurança dos sistemas em risco ou que lhes provoquem danos - Evento de mídia negativa: comunicações públicas sobre eventos cibernéticos Clara Amédée Péret Motta - 14413498631 SIMULAÇÃO DE INCIDENTE DE SEGURANÇA - SIS Objetivos: Compreender o grau de maturidade da organização em relação a possíveis incidentes de segurança, incluindo os de dados pessoais Compreender o grau de maturidade da organização em relação a possíveis incidentes de segurança, incluindo os de dados pessoais Providências prévias ao início da simulação (workflow prévio): 1 Reunião de kick-off com a apresentação de roteiro (passo a passo de todo o procedimento de simulação) Avaliação da estrutura da empresa Mapeamento documental Identificação do ponto focal de contato (a pessoa que fiscalizará todo o processo sem, contudo, fornecer qualquer informação aos colaboradores da empresa). Avaliação da estrutura da empresa Esclarecimento de dúvidas finais sobre o procedimento (informações sobre como a simulação será efetivamente implementada e quais recursos técnicos serão usados – exemplos: simular uma extorsão, notificação de autoridade, notícia na imprensa ou movimentação em rede social) 2 3 4 5 Clara Amédée Péret Motta - 14413498631 SIMULAÇÃO DE INCIDENTE DE SEGURANÇA - SIS Descrição detalhada de todo o processo de simulação da violação Eventuais falhas identificadas Medidas de correção jurídicas a serem adotadas para uma boa adequação à LGPD Apresentação de Relatório Final – RSIS:Realização da simulação conforme plano estruturado e aceito, com o apoio de equipe técnica interna ou externa Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE • Identificação se os dados envolvidos são ou não da base de dados da empresa • Identificação se os dados são dados pessoais ou não • Data Breach Score: classificação do incidente de segurança, dos riscose consolidação da base de dados afetada • Monitoramento surface web e deep web • Comunicação de clientes • Comunicação à Autoridade Nacional de Proteção de Dados – ANPD, Comunicação à Secretaria Nacional do Consumidor – SENACON e outros órgãos reguladores • Plano de comunicação à imprensa • Identificação e coleta das provas digitais (evidências técnicas, entendimento de falhas, usuários envolvidos, etc) • Ações cíveis (identificação e remoção) e/ou providências criminais Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE • Comunicação de clientes • Comunicação à Autoridade Nacional de Proteção de Dados – ANPD Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE • Entendimento atual da ANPD: Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE • Entendimento atual da ANPD: Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE • Entendimento atual da ANPD: Clara Amédée Péret Motta - 14413498631 MEDIDAS PÓS-INCIDENTE • Entendimento atual da ANPD: Clara Amédée Péret Motta - 14413498631 REGULAÇÃO DO SINISTRO 1 2 3 4 - Aviso do sinistro e sua documentação - Investigação do incidente e preservação das provas Início do processo de regulação. Envolvidos: - Seguradora - Segurado - Corretor - Regulador - Escritório jurídico - Parceiro técnico Regulação do sinistro: - Reuniões - Q&As - Elaboração de laudos - Cooperação do segurado Decisão final e eventual jurisdicionalização Clara Amédée Péret Motta - 14413498631 OBRIGADO Advogado | Professor • https://linktr.ee/mauriciotamer • @mauriciotamer Clara Amédée Péret Motta - 14413498631
Compartilhar