Gestão de Risco nos Terceirizados

22/10/2021 - Alertas e Informativos

Logo após ter anunciado publicamente que foi alvo de um ciberataque que afetou seus sistemas, a Atento S.A. interrompeu as conexões com os clientes a fim de prevenir novos riscos. O incidente com a empresa fornecedora do mercado de contact center serve de alerta sobre como respostas rápidas são fundamentais em casos de invasão, sequestro ou vazamento de dados envolvendo um terceirizado (operador).

Os controladores (contratantes) precisam agir com eficiência, sem se precipitar, e lembrar das seguintes providências:

  • Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva perda, exposição e/ou acesso não autorizado por terceiros.
  • Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.
  • Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de fornecedor.
  • A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD, caso haja elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco ou dano relevante para os titulares. Então, caberá ao controlador também reportar à Autoridade Nacional de Proteção de Dados (ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto a decisão.

Em situações de ataque de sequestro virtual (ransomware), é importante analisar caso a caso. Isso porque, em muitos cenários, a base fica criptografada, mas não significa que ela foi exposta. Ao analisar as evidências e as medidas necessárias para reestabelecer o ambiente é possível definir se foi um incidente de segurança ou uma violação de dados pessoas. A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem como SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e capacitar a tomada de decisão. É recomendado, ainda, ter um protocolo de respostas a incidentes que auxilia na condução das atividades e evita agir com imprudência e sem orientação.

Por Patricia Peck com contribuição do Núcleo DPO – Hotline de Respostas a Incidentes, que tem como gestores os sócios Caroline Teófilo e Henrique Rocha

Compartilhe

Últimas notícias

02/11/2021

Fraudes digitais: prejuízo das empresas pode chegar a quase 4 vezes o valor do incidente, aponta estudo

Especialista em Direito Digital e sócio do Peck Advogados explica os principais riscos e a importância de investir em assessoria jurídica na hora de lidar […]

24/05/2023

Resolução n°6 Bacen e CMN: critérios são estabelecidos para o compartilhamento de dados e informações referentes a suspeitas de fraudes

Na última quarta-feira, 23 de maio de 2023, o Banco Central do Brasil (“Bacen”) e o Conselho Monetário Nacional (“CMN”) publicaram a Resolução Conjunta nº […]

28/04/2022

Inteligência artificial na educação

A Inteligência Artificial pode ser implementada em diversos setores, dentre eles a educação. Com a informatização da sociedade e o crescente letramento digital, sobretudo dos […]

Veja mais publicações

ASSINE NOSSA NEWSLETTER

Receba conteúdos sobre Direito, Inovação e Negócios.

CADASTRE-SE

Nosso Escritório

Rua Henrique Schaumann, nº 270, 4º andar
Edifício Pinheiros Corporate,
São Paulo – SP | CEP: 05413-909
(11) 2189-0444