Informação – incidente de segurança – comunicação.
Coluna produzida pelo escritório Chezzi Advogados esclarece dúvida acerca da comunicação sobre incidente de segurança.
PERGUNTA: Quando um incidente de segurança da informação exige que o delegatário o comunique às autoridades?
RESPOSTA: Com os dados pessoais assumindo um papel fundamental em nossa sociedade, as preocupações em torno da proteção desse importante ativo informacional ganham cada vez mais relevância.
Muito se discute em como impedir o acesso indevido das informações gerenciadas por uma organização por terceiros mal-intencionados, considerando os riscos reputacionais, financeiros, jurídicos e operacionais que o incidente deste pode gerar. Mesmo na concretização de eventos dessa natureza, também se discute como agir para mitigar os riscos decorrentes de sua ocorrência.
Quando a proteção dos ativos informacionais falha, surge um evento chamado em Incidente de Segurança da Informação.
Incidente de segurança pode ser qualquer ação voluntaria ou não, que resulte em divulgação, alteração, perda, ou acesso não autorizado de dados pessoais, independente da forma que se deu. Ele se materializa pelo comprometimento dos atributos de confidencialidade, disponibilidade, integridade e autenticidade, que performa a segurança da informação.
Tanto a Lei Geral de Proteção de Dados Pessoais quanto o Provimento n. 149, de 2023 do CNJ determinam uma série de ações a serem adotadas quando há um cenário de incidente de segurança da informação.
A depender da gravidade do incidente, pode ser necessário comunicá-lo aos agentes fiscalizadores (Autoridade Nacional de Proteção de Dados - ANPD, Juiz Corregedor Permanente e Corregedoria-Geral da Justiça).
Assim, não é todo incidente que deve ser comunicado, mas tão somente aqueles que podem ensejar riscos ou dano relevante para o titular de dados pessoais, conforme estabelece o art. 91 do Provimento n. 149, do CNJ, e o art. 4º da Resolução CD/ANPD n. 15, de 2024.
De acordo com a Resolução CD/ANPD n. 15 2024, considera-se grave e, portanto, passível de comunicação, o incidente que puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:
I - dados pessoais sensíveis;
II - dados de crianças, de adolescentes ou de idosos;
III - dados financeiros;
IV - dados de autenticação em sistemas;
V - dados protegidos por sigilo legal, judicial ou profissional; ou
VI - dados em larga escala.
Entende-se incidente com dados em larga escala aquele que abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.
Será caracterizado como incidente que possa “afetar significativamente interesses e direitos fundamentais dos titulares” aquele em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
A comunicação do incidente grave deve conter informações que possam esclarecer a natureza do incidente e as medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
No entanto, há uma pequena diferença nos prazos para comunicação à CGJ e à ANPD.
Enquanto o Provimento n. 149, do CNJ, exige que essa comunicação seja feita em 48 (quarenta e oito horas) úteis, a ANPD estabelece um prazo de três dias úteis, inclusive para viabilizar a coleta de todos os insumos necessários.
É recomendável que a serventia possua uma política interna de resposta a incidentes de segurança da informação, devidamente documentada, para que os colaboradores fiquem cientes das medidas a serem tomadas, bem como que eles sejam treinados sobre essa política.
*ATENÇÃO: As perguntas e respostas apresentadas nesta seção do Boletim do IRIB são produzidas pelo escritório Chezzi Advogados e não expressam, necessariamente, a opinião da Diretoria do IRIB e dos editores deste boletim. O conteúdo apresentado é de responsabilidade exclusiva de seus autores. Caso queira entrar em contato com o escritório, envie um e-mail para [email protected].
Notícia Anterior
Câmara dos Deputados: seminário discute legislação ambiental e desenvolvimento urbano
Próxima Notícia
Indisponibilidade de bens – Parte II
Notícias por categorias
- Georreferenciamento
- Regularização fundiária
- Registro eletrônico
- Alienação fiduciária
- Legislação e Provimento
- Artigos
- Imóveis rurais e urbanos
- Imóveis públicos
- Geral
- Eventos
- Concursos
- Condomínio e Loteamento
- Jurisprudência
- INCRA
- Usucapião Extrajudicial
- SIGEF
- Institucional
- IRIB Responde
- Biblioteca
- Cursos
- IRIB Memória
- Jurisprudência Comentada
- Jurisprudência Selecionada
- IRIB em Vídeo
- Teses e Dissertações
- Opinião
- FAQ - Tecnologia e Registro
Últimas Notícias
- Terceira Turma admite registro civil de casamento religioso de 1894 para bisneto obter cidadania estrangeira
- Censo 2022: mais de 16 milhões de pessoas residiam em favelas e comunidades urbanas
- Vice-Presidente do IRIB publica artigo sobre Inteligência Artificial no processo judicial