Gestão de Incidentes

O vazamento de dados pessoais é um dos principais riscos enfrentados pelas organizações no contexto da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018). Considera-se vazamento de dados toda situação em que informações pessoais são acessadas, divulgadas, compartilhadas ou utilizadas de forma não autorizada, seja por falhas técnicas, erro humano, ação maliciosa ou ausência de controles adequados de segurança da informação.


A LGPD determina que os agentes de tratamento adotem medidas técnicas e administrativas capazes de proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Quando essas medidas falham e ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados, caracteriza-se um incidente de vazamento de dados pessoais.


Nesse contexto, a gestão de incidentes torna-se um elemento essencial da governança em proteção de dados. A gestão de incidentes consiste no conjunto de procedimentos adotados pela organização para identificar, registrar, analisar, conter, mitigar e corrigir eventos relacionados à segurança da informação, incluindo vazamentos de dados pessoais.


A LGPD estabelece que, em caso de incidente de segurança com risco ou dano relevante, o controlador deve comunicar o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e, quando aplicável, aos titulares dos dados afetados, em prazo razoável. Essa comunicação deve conter, no mínimo, a descrição da natureza dos dados afetados, as medidas técnicas e de segurança utilizadas para proteção das informações, os riscos relacionados ao incidente e as ações adotadas para mitigar seus efeitos.


Uma gestão eficiente de incidentes permite que a organização atue de forma rápida e coordenada, reduzindo impactos, evitando a propagação do vazamento e preservando a confiança dos titulares dos dados. Além disso, demonstra o compromisso institucional com a transparência, a responsabilidade e a conformidade com a LGPD.


Para os órgãos públicos, como as Câmaras Municipais, a gestão de incidentes deve estar integrada às políticas de segurança da informação e à Política de Proteção de Dados Pessoais, prevendo fluxos claros de comunicação interna, definição de responsabilidades, registro formal dos incidentes e capacitação contínua dos servidores.


Assim, a prevenção e o adequado gerenciamento de vazamentos de dados não se limitam à adoção de tecnologias de segurança, mas envolvem também processos bem definidos, conscientização dos agentes públicos e a criação de uma cultura organizacional voltada à proteção da informação e ao respeito aos direitos dos cidadãos.