Gestão de Risco nos Terceirizados

Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (operador).

Os controladores (contratantes) precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:

  • Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.
  • Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.
  • Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.
  • A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD, caso haja elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.

Em situações de ataque de sequestro virtual (ransomware), é importante analisar caso a caso. Isso porque, em muitos cenários, a base fica criptografada, mas não significa que ela foi exposta. Ao analisar as evidências e as medidas necessárias para reestabelecer o ambiente é possível definir se foi um incidente de segurança ou uma violação de dados pessoas. A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. É recomendado, ainda, ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.

Por Patricia Peck com contribuição do Núcleo DPO – Hotline de Respostas a Incidentes, que tem como gestores os sócios Caroline Teófilo e Henrique Rocha

Compartilhe

Últimas notícias

04/05/2022

Projeto de lei busca criminizalizar o golpe com ransomware no Brasil

Um recente estudo da Palo Alto Networks constatou que em 2021 houve um aumento de 85% de vítimas de ransomware em comparação a 2020. Entre […]

24/07/2025

Medidas preventivas e respostas envolvendo fraudes digitais, roubo e meios tecnológicos

Por Henrique Rocha, sócio do Peck Advogados Em seu 17º anuário publicado, o Fórum de Segurança Pública Brasileiro demonstrou que o número registros de estelionatos no […]

18/09/2023

Anbima reforça regras de transparência para influenciadores digitais do mercado financeiro e de capitais

ANBIMA estabeleceu regras para influenciadores digitais na promoção de investimentos, incluindo transparência, identificação e responsabilidade das instituições, visando proteger os investidores. Por Leandro Bissoli e […]

Veja mais publicações

ASSINE NOSSA NEWSLETTER

Receba conteúdos sobre Direito, Inovação e Negócios.

CADASTRE-SE

Nosso Escritório

Rua Henrique Schaumann, nº 270, 4º andar
Edifício Pinheiros Corporate,
São Paulo – SP | CEP: 05413-909
(11) 2189-0444