Vazamento de dados, qual a sua relação com a LGPD e a ISO 27001 e como podemos atuar para evitá-los?
O vazamento de dados está relacionado com a falta de segurança que a Organização pode ter em seus processos. Quando pensamos nos vazamentos de dados temos dois pontos que necessitamos analisar: o vazamento de dados pessoais que está diretamente ligado a LGPD e as demais informações que a Organização detém para desenvolver suas atividades em ambos os casos, sejam dados internos ou externos.
Dados internos x dados externos
Quando pensamos em vazamento de dados, normalmente associamos a questão do vazamento de informações de clientes. As Organizações tendem ter preocupação com a garantia da segurança desses dados, mas acabam se esquecendo que os dados internos também necessitam de cuidados.
Dados internos
Os dados internos também são de suma importância, principalmente para a perenidade do negócio, pensando na LGPD podemos nos atentar aos dados pessoais dos colaboradores, no regime de contratação CLT é necessário que a Organização tenha sobre posse vários dados pessoais para que assim possam realizar a contratação do colaborador e realizar o cadastro no e-social. Muitos desses dados pessoais são sensíveis e a Organização é responsável para garantir que não haja o vazamento dos dados pessoais e assim atender a LGPD.
Também temos outras informações e dados que são de grande relevância para a Organização, como por exemplo informações relacionadas ao planejamento estratégico, desenvolvimento de um novo produto, o código fonte do software que pode representar a maior parte do faturamento da Organização, o desenvolvimento de novos remédios, assim por diante.
Note que independente do ramo de negócio que a Organização atue, sempre terá que tomar cuidado com vazamento dos dados internos.
Dados externos
Os dados externos que a Organização detém também pode colocar em xeque a perenidade do negócio, pois há dados relevantes de clientes que podem ser incorporados na operação da Organização e se caso ocorrer vazamento de dados podem ter penalidades seríssimas como multas definidas em contrato, também no caso de dados pessoais dos clientes há também as sanções da ANPD (Autoridade Nacional de Proteção de Dados) relacionada a LGPD.
Vazamento de dados x ISO 27001 e LGPD
O vazamento de dados sempre estará ligado a essas duas óticas, a LGPD e a ISO 27001, como sabemos a LGPD regula como o controlador deve utilizar os dados pessoais que tem em posse e a ISO 27001 tem um olhar voltado a mitigação de riscos relacionados a segurança da informação.
Com isso fica mais claro entendermos que quando ocorre um incidente relacionado a vazamento de dados a Organização deve se atentar a esses dois olhares, primeiro, houve algum vazamento de dados pessoais que a Organização controla, e segundo, quais demais informações foram vazadas durante o incidente?
É necessário ter claro essas duas óticas para que assim a Organização possa entender o que de fato ocorreu e como pode tomar as medidas cabíveis para solucionar o problema, pois os impactos e tratativas serão diferentes para a Organização, dependendo de qual ou quais dados foram vazados.
Vazamento de dados pessoais (LGPD)
Em caso de vazamento de dados pessoais que estão sobre a posse da Organização, é necessário se atentar com as tratativas conforme estão definidas na LGPD:
- Avaliar internamente o incidente: sua natureza, categoria e quantidade de titulares dos dados afetados.
- Comunicar ao encarregado de dados
- Caso a Organização for o operador dos dados pessoais informar o controlador conforme os termos da LGPD.
- Comunicar à ANP e aos titulares dos dados
- Elaborar documentação interna com a avaliação do incidente, as ações tomadas com análise de riscos para cumprimento da responsabilização e prestação de contas
Esse é um dos questionamentos que geram mais discussão, por que a Organização necessita relatar que houve uma falha em relação ao cuidado dos dados pessoais? Basicamente pelo princípio de auto responsabilidade, a partir do momento que o titular do dado autoriza o uso dos seus dados pessoais a Organização, o titular está confiando suas informações partindo do pressuposto que suas informações estão seguras com a Organização. A Partir do momento que o controlador sofre um vazamento de dados ao identificá-lo é importante que o titular do dado tenha ciência do ocorrido para que possa tomar as medidas para se precaver de problemas como fraudes financeiras, por exemplo: solicitações de empréstimos, compra de produtos, uso impróprio de sua identidade, além de outros problemas que podem vir a ocorrer com os dados vazados.
Vazamento de dados relacionados a ISO 27001
Se tratando de vazamento dos dados que a Organização detém no âmbito da ISO 27001 é necessário que a Organização tenha um procedimento efetivo para o tratamento dos incidentes relacionados à segurança das informações.
Para isso são observados os controles do Anexo A, que são aplicáveis às tratativas dos vazamentos de dados, por meio da adequação dos controles relacionados à Organização. Há um procedimento que auxiliará desde a análise do vazamento, da documentação, ações tomadas para mitigação da falha até a comunicação com as partes interessadas.
Outro ponto relevante é que, por meio dos controles, a Organização irá definir uma sistemática onde os colaboradores e partes externas ao identificarem algum vazamento de dados ou falhas possam entrar em contato para que seja analisado.
Como mitigar o risco de vazamento de dados com ISO 27001
O risco de vazamento de dados seja pessoal ou demais informações sempre vai existir dentro das Organizações, porém podem ser mitigados e muitas vezes eliminados.
Isso é possível com a implementação das normas ISO 27001 e ISO 27701, com a implementação do Sistema de Gestão de Segurança da Informação e Privacidade a Organização irá conseguir analisar e levantar todos os riscos relacionados a possíveis vazamentos de dados e se apoiar nos controles das normas para realizar as adequações necessárias para mitigar os riscos encontrados.
A implementação e certificação nas normas trará um grau de maturidade relacionada à segurança das informações e dados pessoais à Organização que irá garantir a perenidade do negócio e seu fortalecimento no mercado que atua.
Tem interesse em implementar a ISO 27001 em sua empresa? Clique aqui e fale com um especialista!
