Incidente de Segurança em um Fornecedor

Por Iara Peixoto Melo[1]

Os incidentes de segurança são cada vez mais frequentes e todas as empresas estão sujeitas a eles. Em nossa experiência, notamos que é comum incidentes ocorrerem na infraestrutura de fornecedores, os quais, normalmente, tratam os dados pessoais em nome da empresa. Nessa situação, o fornecedor se enquadra na figura de operador, enquanto a empresa, na figura de controladora nos termos da lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

Uma situação como essa, geralmente, causa um estresse significativo nos envolvidos, que se inicia ainda na fase de identificação do incidente e vai até o seu desfecho final.

Este artigo tem como principal objetivo compartilhar recomendações que acreditamos ser de grande valia para empresas nesta situação, baseadas nas experiências que colecionamos ao longo dos últimos anos.

O que fazer ao identificar um incidente?

Digamos que você é um fornecedor e identificou um incidente de segurança em sua infraestrutura que afetou dados pessoais tratados em nome de um cliente.

A primeira coisa a se fazer é tomar todas as medidas necessárias para contê-lo. Caso você não esteja familiarizado, saiba que alguns frameworks de segurança da informação dividem a resposta a um incidente em fases como identificação e análise, contenção, erradicação, recuperação e atividade pós-evento.

Pois bem, após identificar e analisar o incidente, você passará para a fase de contenção. Nesta etapa, é provável que você já esteja sendo assessorado por profissionais de segurança da informação. A ação deles será fundamental para tentar mitigar danos resultantes do incidente.

Paralelamente, é essencial informar imediatamente o controlador sobre o ocorrido. Isso porque os dados são tratados pela sua empresa em nome do controlador, que pode ser responsabilizado solidariamente por eventuais danos causados aos titulares.

É comum que algumas empresas hesitem em relatar o ocorrido ao controlador, temendo as consequências dessa comunicação.

Contudo, omitir o acontecimento não é a melhor solução. Da mesma forma, o controlador não deve se mostrar hostil neste momento. O mais indicado é que as partes trabalhem em cooperação para responder ao incidente de segurança o mais rápido possível e da melhor forma, além de implementar ações para mitigar riscos aos titulares.

A mora ou omissão do operador em informar o controlador sobre o incidente pode sujeitá-lo à eventual reparação por perdas e danos, a dependendo da situação. Além disso, se o controlador descobrir o incidente através de terceiros, a confiança e o relacionamento entre as partes, certamente, serão abalados.

O dever de comunicar o incidente à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e aos titulares compete ao controlador, conforme definido em lei. No entanto, as informações que devem ser reportadas à ANPD sobre as condições em que o incidente ocorreu, normalmente, serão mais bem conhecidas pelo operador, já que o incidente ocorreu em sua infraestrutura.

É importante lembrar que, após a comunicação de um incidente à ANPD, um processo administrativo se iniciará e a ANPD poderá solicitar outras informações, incluindo o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente. Por isso, a colaboração entre as partes será fundamental.

Para mais informações sobre o processo de comunicação de um incidente de segurança da informação à ANPD, consulte o Regulamento de Comunicação de Incidente de Segurança (Resolução CD 15/2024). Publicado em abril de 2024, este regulamento é leitura obrigatória para todos os profissionais que trabalham com proteção de dados e segurança da informação.

Importante mencionar que, mesmo que as partes decidam cooperar entre si, isso não prejudica o eventual direito do controlador de solicitar uma compensação pelas perdas e danos que eventualmente sofra, caso o incidente tenha ocorrido por ato ilícito do operador.

Caso as partes tenham firmado contrato com cláusulas claras sobre proteção de dados pessoais e medidas de segurança, provavelmente será mais fácil definir os limites entre a responsabilidade de cada parte. Por isso, é importante não negligenciar a fase de contratualização, em que as partes elaboram e discutem as cláusulas que regerão a relação.

O CHENUT alcançou por oito vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa

[1] Sócia de Direito Digital e Consultoria Empresarial do Chenut Advogados