Autoridade Nacional aplicou sanção de R$ 14 mil por descumprimento da norma. Órgão já registra outros 544 comunicados de incidentes de segurança
A Autoridade Nacional de Proteção de Dados (ANPD) aplicou na primeira semana deste mês de julho sua primeira sanção pelo não cumprimento da Lei Geral de Proteção de Dados (LGPD). Por não definir um encarregado de dados e não adequar seus procedimentos à base legal prevista em lei, uma microempresa foi multada em mais de R$ 14 mil, em alerta do que pode vir a se tornar cada vez mais comum no Brasil.
Isso por que, a ANPD já acumula 544 comunicados de incidentes de janeiro de 2021 a março de 2023, número que pode fazer com que novas punições aconteçam em breve, caso as organizações não se adequem à Lei Federal nº 13.709/18. As punições podem ir de advertências a multas, chegando até ao encerramento das operações de uma empresa.
Um incidente de segurança ocorre quando uma empresa compromete a confidencialidade, integridade ou disponibilidade de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado aos dados pessoais, independentemente do meio em que estão armazenados.
Entre os comunicados de incidentes estão casos de sequestro de dados (ransomware) com ou sem transferência de informações, exploração de vulnerabilidade em sistemas de informação, acesso não autorizado a sistemas de informação, envio de dados a destinatário incorreto, entre outros.
Como implementar a norma
Para auxiliar empresários que estão enfrentando dificuldades na implementação da legislação nacional e correndo o risco de punições graves pelo órgão fiscalizador, a norma ISO – International Organization for Standardization, aliada com International Electrotechnical Commission (IEC) 27001, pode ser uma alternativa para dar o primeiro passo em direção à conformidade com a nova legislação brasileira.
Conforme explica a vice-presidente de Relações Institucionais da Associação Brasileira de Avaliação da Conformidade (Abrac), Alessandra Costa, a ISO/IEC 27001 é um padrão internacional para o Sistema de Gestão de Segurança da Informação (SGSI), baseado na avaliação de riscos e seu tratamento em uma organização, protegendo a integridade e confidencialidade dos dados. “Essa norma pode ajudar as organizações a melhorarem seus níveis de qualidade, processos, sistemas e produtos, além de se adequarem à LGPD”, afirma.
Qualquer organização pode obter a certificação ISO/IEC 27001 e aquelas que a adotam passam por auditorias em intervalos determinados por um Organismo de Avaliação da Conformidade (OAC). O tempo de implementação varia de acordo com a realidade, maturidade e tamanho de cada empresa.
“A norma é composta por dois pontos principais: o primeiro define as regras e requisitos de conformidade, como contexto organizacional, liderança, planejamento, suporte, operação, avaliação de desempenho e melhoria; o segundo trata dos controles que as empresas devem adotar em áreas como política de segurança, organização da segurança da informação, recursos humanos, físicos e ambientais, gestão de ativos, controle de acesso, criptografia, entre outros”, explica Alessandra Costa.
Para obter a certificação ISO 27001, é necessário buscar um Organismo de Avaliação da Conformidade em uma entidade acreditada. No Brasil, essa acreditação é realizada pela Coordenação Geral de Acreditação (Cgcre) do Instituto Nacional de Metrologia, Qualidade e Tecnologia (Inmetro), mas também é possível buscar Certificação ISO 27001, por meio de órgãos internacionais acreditados. Esses órgãos estão disponíveis no site do Fórum Internacional de Acreditação.
O OAC guiará a empresa por meio de uma avaliação formal para verificar se todas as exigências foram cumpridas e avaliará a implementação dos procedimentos e controles para garantir que estejam funcionando de acordo com os padrões exigidos. Após a aprovação na auditoria formal, a organização recebe o certificado com validade de três anos.
Sobre a Abrac
Fundada em 2009, a Associação Brasileira de Avaliação da Conformidade (Abrac) reúne as empresas responsáveis pela avaliação da conformidade de produtos, sistemas e laboratórios de ensaio e calibração, acreditados pelo Inmetro e designados pela Anatel, que são oferecidos aos cidadãos, trabalhando em sua inspeção e certificação com o objetivo de informar e proteger o consumidor, em particular quanto à saúde, segurança e meio ambiente; propiciar a concorrência justa; estimular a melhoria contínua da qualidade; facilitar o comércio internacional; e fortalecer o mercado interno, atuando em conjunto com os órgãos reguladores das atividades em âmbito nacional.
