A notificação de incidentes de segurança só deve ser feita obrigatoriamente à ANPD (Autoridade Nacional de Proteção de Dados) em casos de alta relevância. Os casos de baixa e média relevância estariam dispensados do aviso. Esta é a contribuição da Abranet (Associação Brasileira de Internet) para a tomada de subsídios na regulamentação de tópicos da LGPD (Lei Geral de Proteção de Dados Pessoais).
De acordo com o comunicado da associação, para cair na definição de alta relevância, o incidente teria que possibilitar a identificação dos titulares, tais como nome, CPF, RG e endereço; ou envolver dados sensíveis que não estejam mascarados e que sejam passíveis de associação a seus titulares (ambos independentemente da porcentagem de dados afetados na base do controlador); ou ainda envolver informações que correspondam a mais de 50% da base de dados.
A Abranet propõe ainda que o incidente de segurança não seja considerado relevante quando houver casos de phishing ou compartilhamento de senhas, uma vez que os cuidados com as credenciais de acesso são de responsabilidade do titular e não do controlador. O mesmo se aplicaria no caso de o titular usar a mesma credencial para vários serviços/produtos e ocorrer o vazamento dela.
“Queremos evitar um excesso de notificações e com isso acabar gerando uma falta de credibilidade no sistema. Se as incidências forem escaladas em graus de severidade, isso não acontece. É bom lembrar que sugerimos critérios técnicos para isso, com normas internacionais. Quando falamos de Internet, não inventamos nada aqui. Tudo está alinhado internacionalmente”, afirmou Eduardo Neger, presidente da Abranet, ao Mobile Time.
Segundo Neger, é preciso que haja uma participação efetiva das empresas na elaboração da LGPD. E que, com o tempo, exista uma cultura de proteção de dados. “As empresas vão passar a entender que o dado é algo valioso, então precisa ser cuidado, e deve haver uma razão para ser coletado. Quanto mais dados uma empresa tiver em mãos, mais responsabilidade terá”, completou.
