Incidentes de segurança: classificação de severidade

Incidentes de segurança estão cada vez mais presentes na sociedade. A máxima do "não é se, mas quando" é confirmada diariamente e atinge pessoas jurídicas de direito público e privado, sem discriminação.

Por meio das recomendações da Enisa é possível classificar um incidente de segurança entre baixo, médio, alto e muito alto, levando-se em consideração aspectos referentes ao contexto do tratamento de dados, grau de univocidade da identificação do titular, vulnerabilidade da CID (confidencialidade, integridade e disponibilidade) e também a intenção maliciosa do incidente de segurança.

A Lei Geral de Proteção de Dados (LGPD) não prevê expressamente um conceito de "incidente de segurança" e a Autoridade Nacional de Proteção de Dados (ANPD) explica [2] que "um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais".

Segundo as "Orientações sobre a notificação de uma violação de dados pessoais ao abrigo do Regulamento (UE) 2016/679", do WP250rev.01, "existem duas razões importantes para isso (avaliar o risco): em primeiro lugar, conhecer a probabilidade e a potencial gravidade do impacto sobre as pessoas irá ajudar o responsável pelo tratamento a tomar medidas eficazes para conter e dar resposta à violação; em segundo lugar, irá ajudar a determinar se é exigida notificação à autoridade de controlo e, se necessário, às pessoas em causa" [3], principalmente, neste último caso, para se prevenirem dos danos gerados pelo incidente de segurança.

Nota-se que a preocupação com os potenciais riscos ao titular de dados é o ponto central do incidente de segurança. Da mesma forma, importante atentar que os riscos não precisam ser concretos, bastando a sua "possibilidade" de ocorrência.

Os riscos, ou impactos, são definidos por Daniel Solove e Danielle Keats Citron [4] como físicos, econômicos, reputacionais, psicológicos (angústia e perturbação), autodeterminação (coerção, manipulação, falha em informar, expectativas frustradas, falta de controle, efeitos arrepiantes, discriminatórios, relacionais (Privacy Harms).

Assim, identificado um incidente de segurança com potencial de ocasionar riscos ao titular de dados, a ANPD deve ser comunicada. Até aí é fácil de entender, o problema está em como definir se o incidente realmente deve ser comunicado e qual a metodologia aplicável. Neste sentido, as Recomendações da Enisa trazem uma fórmula de classificação da severidade do incidente (SE), assim definida: SE = DPC x EI + CB.

DPC é o contexto do processamento dos dados, EI é a facilidade de identificação do titular dos dados e CB as circunstâncias do incidente. DPC se refere aos tipos de dados (simples, comportamentais, financeiros, sensíveis), com uma temperança entre situações agravantes e atenuantes (pontuação de 1 a 4). EI se refere a identidade unívoca do titular de dados, considerando-se o cruzamento da informação com outras fontes de dados (pontuação de 0,25 a 1). CB se refere à tríade da segurança da informação (CID), acrescido do quesito intenção maliciosa (pontuação de 0 a 2).

A aplicação dos itens de avaliação resultará em classificação de severidade [5]: a) baixa — pontuação menor que 2; b) média — pontuação entre 2 e menor que 3; c) alta — pontuação entre 3 e menor que 4; d) muito alta — pontuação 4 ou maior.

Por decorrência lógica, pontuações altas e muito altas têm como primeira conclusão comunicar o incidente. Porém, mesmo para pontuações altas e muitas altas, a Enisa recomenda utilizar balanceadores como o número de indivíduos afetados e a inteligibilidade dos dados, citando neste último caso a criptografia como fator. No WP250 se ressalta que avaliar risco implica analisar a "combinação da gravidade do impacto potencial sobre os direitos e liberdades das pessoas e da probabilidade de este ocorrer". Em complemento, a Agencia Española de Protección de Datos (AEPD), em seu "Guía para la notificación de brechas de datos personales" [6] afirma que "en situaciones de severidad media o daño limitado, cuando la probabilidad de que dicho daño se materialice sea alta o muy alta, también se deberá comunicar a los afectados".

Assim, fica claro que uma combinação entre os diversos tipos de danos, conforme Solove e Citron, a intenção maliciosa do incidente e as medidas de segurança adotadas previamente são determinantes para a comunicação do incidente.

Independentemente da decisão final sobre a (não) comunicação do incidente de segurança à ANPD, todas as justificativas e fundamentos adotados pelo Controlador de Dados (responsável pela comunicação) precisam ser formalizados e registrados para que a prestação dessas contas seja possível e, como tal, propiciar a defesa do agente de tratamento perante a ANPD, os titulares de dados e outros organismos que possam fiscalizar suas condutas.

Por fim, conclui-se que o tema de classificação de incidentes envolve diversos aspectos, minuciosos aspectos, exigindo atenção para que o titular de dados seja protegido dos danos que os incidentes de segurança possam gerar.

Notas

[1] Recommendations for a methodology of the assessment of severity of personal data breaches. Disponível em https://www.enisa.europa.eu/publications/dbn-severity. Acesso em 16/11/2022;

[2] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em 15/11/2022;

[3] WP250rev.01. Orientações sobre a notificação de uma violação de dados pessoais ao abrigo do Regulamento (UE) 2016/679. Disponível em: https://ec.europa.eu/newsroom/article29/items/612052/en. Acesso em 15/11/2022;

[4] No original "Physical Harms, Economic Harms, Reputational Harms, Psychological Harms (Emotional Distress, Disturbance), Autonomy Harms (Coercion, Manipulation, Failure to Inform, Thwarted Expectations, Lack of Control, Chilling Effects), Discrimination Harms, Relationship Harms". Solove, Daniel J. and Keats Citron, Danielle, "Privacy Harms" (2021). GW Law Faculty Publications & Other Works. 1534. Disponível em https://scholarship.law.gwu.edu/faculty_publications/1534. Acesso em 22/11/2022;

[5] SE < 2 Low Individuals either will not be affected or may encounter a few inconveniences, which they will overcome without any problem (time spent re-entering information, annoyances, irritations, etc.).

2 ≤ SE < 3 Medium Individuals may encounter significant inconveniences, which they will be able to overcome despite a few difficulties (extra costs, denial of access to business services, fear, lack of understanding, stress, minor physical ailments, etc.).

3 ≤ SE< 4 High Individuals may encounter significant consequences, which they should be able to overcome albeit with serious difficulties (misappropriation of funds, blacklisting by banks, property damage, loss of employment, subpoena, worsening of health, etc.).

4 ≤ SE Very High Individuals may encounter significant, or even irreversible, consequences, which they may not overcome (financial distress such as substantial debt or inability to work, long-term psychological or physical ailments, death, etc.).

[6] Agencia Española de Protección de Datos (AEPD). Disponível em https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf. Acesso em 15/11/2022