Gestão de Risco nos Terceirizados

22/10/2021 - Alertas e Informativos

Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (operador).

Os controladores (contratantes) precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:

  • Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.
  • Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.
  • Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.
  • A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD, caso haja elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.

Em situações de ataque de sequestro virtual (ransomware), é importante analisar caso a caso. Isso porque, em muitos cenários, a base fica criptografada, mas não significa que ela foi exposta. Ao analisar as evidências e as medidas necessárias para reestabelecer o ambiente é possível definir se foi um incidente de segurança ou uma violação de dados pessoas. A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. É recomendado, ainda, ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.

Por Patricia Peck com contribuição do Núcleo DPO – Hotline de Respostas a Incidentes, que tem como gestores os sócios Caroline Teófilo e Henrique Rocha

Compartilhe

Últimas notícias

24/10/2022

Deputados aprovam marco legal para a indústria de jogos eletrônicos

A Câmara dos Deputados aprovou ontem, dia 19 de outubro, o Projeto de Lei nº 2.796, de 2021, que cria o marco legal para a […]

19/10/2022

Autoridade Nacional de Proteção de Dados (ANPD) é transformada em Autarquia

A ANPD é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil. Nesta última […]

13/06/2023

Proteção de dados pessoais: Fiscalização da ANPD expõe marcas como se todas tivessem cometido a mesma infração

Diferentemente de autoridades de outros países, a Autoridade classificou os casos de forma genérica como verificação de conformidade do tratamento de proteção de dados pessoais. […]

Veja mais publicações

ASSINE NOSSA NEWSLETTER

Receba conteúdos sobre Direito, Inovação e Negócios.

CADASTRE-SE

Nosso Escritório

Rua Henrique Schaumann, nº 270, 4º andar
Edifício Pinheiros Corporate,
São Paulo – SP | CEP: 05413-909
(11) 2189-0444