Publicações

Prepare sua equipe para Incidentes de Segurança em 2025

Prepare sua equipe para Incidentes de Segurança em 2025

7 de abril de 2025

O cenário digital está cada vez mais complexo e regulamentado, a segurança da informação se tornou um pilar fundamental para a sustentabilidade e o sucesso dos negócios. Saiba aqui como preparar suas equipes para enfrentar esses desafios de forma eficaz.

No início de 2025, duas decisões judiciais ganharam destaque, gerando importantes precedentes para serem considerados na tomada de decisão dos empresários ao investirem em segurança da informação e desenharem suas estratégias:

  • Responsabilização civil por vazamento de dados após ataque hacker. O Superior Tribunal de Justiça (STJ) decidiu no REsp nº 2.147.374/SP que, mesmo em casos de vazamento de dados pessoais não sensíveis (ou comuns, aqueles informados corriqueiramente como CPF, RG, Gênero, endereço e telefone) decorrentes de ataque hacker, o agente de tratamento pode ser responsabilizado se não comprovar a adoção de medidas de segurança adequadas. Além do dano à reputação, a empresa estará sujeita a ações judiciais buscando indenização por danos morais, se comprovado o dano. Neste caso concreto, não houve reconhecimento do dano moral presumido, ao contrário do caso abaixo. Além disso, a empresa poderá estar sujeita à aplicação de sanções pela ANPD, caso seja instaurado processo administrativo para investigar o vazamento e seja determinada a ocorrência de infração.
  • Indenização por dano moral presumido e responsabilidade objetiva por vazamento de dados pessoais. O caso envolve um consumidor que contratou um seguro de vida e forneceu dados pessoais sensíveis (financeiros, bancários, de saúde) à seguradora. Posteriormente, o consumidor foi informado sobre um incidente de cibersegurança que resultou no vazamento de seus dados. O STJ (REsp nº 2.121.904/SP) entendeu que a seguradora falhou na prestação de serviços ao não garantir a segurança e a integridade dos dados pessoais do cliente, configurando responsabilidade objetiva. Além disso, o STJ considerou que o vazamento de dados sensíveis gera dano moral presumido, ou seja, não é necessário que o consumidor comprove o dano sofrido. A seguradora não conseguiu comprovar que o vazamento decorreu de culpa exclusiva de terceiros, o que reforçou sua responsabilidade.

Nestes dois julgados fica claro que não basta cumprir formalmente a Lei Geral de Proteção de Dados (LGPD). É preciso demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. A realização de programas e governança de privacidade e proteção de dados, e auditorias para avaliar a efetividade das medidas de segurança implementadas constituem práticas que devem estar no plano de ação de todas as empresas.

Além disso os julgados reforçam a importância crítica da preparação adequada para incidentes de segurança. Empresas que não se adaptarem a esse novo cenário legal enfrentam riscos significativos, incluindo sanções severas e danos reputacionais.

 Sala de crise

Empresas de tecnologia já estão familiarizadas com a importância de uma sala de crise. Em caso de incidentes de segurança envolvendo dados, cada segundo conta, e equipes preparadas são essenciais para a rápida contenção do dano. Definir os papéis e responsabilidades de cada membro, estabelecer protocolos de comunicação claros e simule cenários de crise para testar a eficácia da equipe. É fundamental que a equipe seja multidisciplinar, com membros familiarizados tanto com o negócio quanto com as questões técnicas e jurídicas que serão abordadas.

Contratos pré-negociados

Outra estratégia importante é manter contratos pré-negociados com fornecedores especialistas em segurança da informação. Isso garante a tranquilidade de contar com a expertise necessária e uma negociação justa de preços em momentos críticos. Essa estratégia evita a correria e a tomada de decisões precipitadas em um momento de crise. Dentre os principais fornecedores que uma organização precisa estar atenta, destacam-se as empresas de forense digital, consultorias jurídicas e empresas de comunicação de crise.

Prazos para “Comunicação de Incidentes de Segurança” à ANPD

Nos casos em que o incidente de segurança envolver dados pessoais, um fator crítico é o prazo de 3 dias úteis, a partir da identificação do incidente, definido pela Autoridade Nacional de Proteção de Dados (ANPD) para realizar a comunicação de incidentes de segurança em sua plataforma.

Qualquer demora injustificada na comunicação do incidente será considerada um agravante, ressaltando a importância da prontidão e transparência na notificação. A avaliação cautelosa e conservadora quanto à relevância dos riscos e danos envolvidos é fundamental para evitar o descumprimento da legislação de proteção de dados pessoais.

Dicas essenciais

Realize uma análise de riscos: Identifique os principais riscos e vulnerabilidades em sua rede e em seus processos de tratamento de dados.

  • Elabore um Plano de Resposta a Incidentes: Defina os procedimentos a serem seguidos em caso de incidente, incluindo os papéis e responsabilidades de cada membro da equipe e observância à legislação aplicável.
  • Invista em segurança da informação: Implemente medidas técnicas e administrativas para proteger seus dados contra acessos não autorizados, vazamentos e ataques cibernéticos.
  • Treine seus colaboradores: Capacite seus colaboradores para identificar, prevenir e responder a incidentes de segurança.
  • Mantenha-se atualizado: Acompanhe as novidades sobre segurança da informação e as exigências da LGPD.

Este boletim informativo tem caráter meramente educativo e não substitui a consulta a um advogado especializado para orientações específicas sobre a sua situação. A equipe de privacidade e proteção de dados do L.O. Baptista oferece consultoria especializada para auxiliar empresas a se prepararem para os desafios da segurança da informação e da proteção de dados pessoais.

Autoria de: Denise de Araújo Berzin Reupke

Outras notícias
Tags