Manual de Procedimentos de Ocorrência
de Vazamento de Dados

Introdução

Este manual estabelece os procedimentos que devem ser adotados em caso de suspeita ou confirmação de vazamento de dados pessoais. Seu objetivo é garantir uma resposta rápida e eficaz para mitigar os impactos do incidente e cumprir com as obrigações legais perante a Autoridade Nacional de Proteção de Dados (ANPD), os titulares dos dados e as instituições financeiras.

Procedimentos

1. Identificação e Confirmação do Vazamento

Assim que um vazamento for suspeito ou relatado, a empresa deve:

• Investigar internamente para confirmar a autenticidade do incidente.
• Determinar a extensão do vazamento.
• Identificar quais dados foram comprometidos.

2. Isolamento da Fonte do Vazamento

Se possível, deve-se:

• Identificar e isolar a fonte do vazamento.
• Suspender a coleta de dados do sistema comprometido para evitar novas exposições.

3. Notificação Imediata às Partes Interessadas

• Titulares dos Dados: Informar imediatamente os indivíduos afetados sobre o vazamento, especificando os dados comprometidos, o impacto potencial e as medidas tomadas para mitigar os danos.
• Autoridade Nacional de Proteção de Dados (ANPD): Notificar a ANPD dentro do prazo legal estabelecido (em até 72 horas após a confirmação do incidente).
• Instituições Financeiras: Formalizar a notificação às instituições financeiras envolvidas dentro de 48 horas da confirmação do incidente.

4. Contenção do Vazamento

• Medidas imediatas devem ser tomadas para conter o vazamento e impedir a disseminação adicional dos dados comprometidos.
• Restringir o acesso às informações comprometidas e alterar senhas se necessário.
• Implementar ações de segurança adicionais para proteger os dados.

5. Avaliação da Gravidade do Vazamento

• Avaliar a gravidade com base no tipo de dados envolvidos, o número de registros comprometidos e o potencial impacto nas partes afetadas.
• Esta avaliação ajudará a determinar a escala da resposta necessária e as obrigações legais.

6. Comunicação e Suporte Contínuo

• Manter comunicação clara e transparente com os titulares dos dados e as instituições financeiras envolvidas.
• Fornecer atualizações regulares, orientação e suporte para minimizar os danos à reputação e ajudar na reconstrução da confiança.

7. Investigação da Causa Raiz

• Conduzir uma investigação interna detalhada para determinar a causa raiz do vazamento.
• Analisar sistemas e processos internos, possíveis falhas de segurança ou atividades maliciosas.

8. Reforço da Segurança

• Com base nas descobertas da investigação, fortalecer as medidas de segurança e implementar melhorias.
• Atualizar sistemas, políticas de segurança e fornecer treinamento adicional aos funcionários.

9. Monitoramento Pós-Incidente

• Monitorar continuamente qualquer atividade suspeita relacionada aos dados comprometidos.
• Responder prontamente a qualquer incidente adicional que possa surgir após o vazamento.

10. Criação e Gestão do Comitê de Crise

• Formar um comitê de crise composto por DPO, gestores e equipe de TI.
• Dimensionar o volume de dados vazados e coordenar as ações necessárias para mitigar os impactos do incidente.

11. Ações Corretivas e de Melhoria

• Implementar ações corretivas imediatas para reverter ou mitigar os efeitos do prejuízo causado pelo vazamento.
• Revisar e atualizar as práticas e políticas de segurança da empresa para prevenir futuros incidentes.

Considerações Finais

Cada incidente de vazamento de dados pode exigir abordagens específicas, dependendo da natureza do vazamento, das leis locais e das políticas da empresa. É essencial consultar especialistas em segurança cibernética e conformidade legal para garantir que todas as medidas apropriadas sejam adotadas em casos específicos.