Quais são os riscos do acesso indevido aos dados pessoais de terceiros?

determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Índice Show

INDICADOR DE ADEQUAÇÃO À LGPD
Quais as consequências do uso indevido de dados pessoais?
Qual o maior risco no tratamento indevido dos dados pessoais?
Quais são os principais riscos para os clientes LGPD?
O que é violação de dados de terceiros?

Diversas ferramentas e técnicas podem ser utilizadas para mitigar os riscos e efeitos de incidentes de segurança, como por exemplo, senhas fortes, anonimização ou pseudonimizaçãodos dados, criptografia, minimização dos dados coletados, atualização constante dos aplicativos, ferramentas técnicas de segurança, dentre outros.

O vazamento de dados pessoais, um dos mais conhecidos incidentes de segurança, ocorre quando dados são indevidamente acessados, coletados e divulgados ou repassados a terceiros. O dano ao titular pode ser das mais diversas naturezas, como fraudes, tentativas de golpes, uso indevido dos dados, venda dos dados,

Em relação à atuação da ANPD na fiscalização de incidentes de segurança, em 2021, a Coordenação-Geral de Fiscalização recebeu diversas reclamações de titulares, relacionadas, em sua maioria, ao exercício de direitos, a denúncias sobre exposição de dados individuais na internet, além de diversos comunicados de incidentes de segurança.

Éimportante citar que é uma obrigação do controlador comunicar à ANPD sempre que acontecer um incidente de segurançaque envolva dados pessoais e que possa acarretar risco ou dano relevante aos titulares.

O que uma organização deve fazer em caso de um incidente de segurança com dados pessoais?

Primeiro, deve avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados pessoais afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Comunicar ao encarregado
Comunicar ao controlador, se você for o operador, nos termos da LGPD;
Comunicar à ANPD e aos titulares de dados, em caso de risco ou dano relevante aos titulares; e

Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

A ANPD recomenda que os controladores adotem posição de cautela, de modo que a comunicação de incidentes de segurança seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalta-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

A comunicação precisa ser bastante detalhada, acompanhada de documentos, como o relatório do incidente de segurança, que auxilia a ANPD a avaliar o incidente, os riscos e as medidas tomadas. A ANPD disponibiliza neste link um formulário para comunicação de incidentes.

Além da obrigação de comunicar, a legislação também prevê uma série de direitos aos titulares dos dados pessoais. É fundamental que as organizações se conscientizem sobre o respeito a esses direitos, que serão objeto de fiscalização da ANPD neste ano, e descumprimentos podem culminar em sanções.

Auditoria do TCU mostrou que é alto o risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal

RESUMO:

O TCU fez auditoria para avaliar as ações governamentais e os riscos à proteção de dados pessoais. A análise abrangeu 382 organizações e abordou a condução de iniciativas governamentais para providenciar a adequação à Lei Geral de Proteção de Dados (LGPD) e às medidas implementadas para o cumprimento das exigências estabelecidas na Lei.
O trabalho também comparou as organizações auditadas quanto ao nível de adequação à LGPD e concluiu que 17,8% estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado.
O diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD apresentou, portanto, situação de alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal.

O Tribunal de Contas da União (TCU) fez auditoria para avaliar as ações governamentais e os riscos à proteção de dados pessoais. Foi elaborado um diagnóstico sobre os controles implementados pelas organizações públicas federais para adequação à Lei Geral de Proteção de Dados (LGPD). Essa lei considera que dado pessoal é a “informação relacionada à pessoa natural identificada ou identificável”.

A análise abrangeu 382 organizações a respeito de aspectos relacionados à condução de iniciativas para providenciar a adequação à LGPD e às medidas implementadas para o cumprimento das exigências estabelecidas na Lei.

Os principais itens avaliados e a situação encontrada sobre cada um podem ser identificados na tabela abaixo:

Fator analisado/dimensão	Situação encontrada

Preparação	apenas 45% das organizações concluíram iniciativa de identificação e planejamento das medidas necessárias à adequação à LGPD e 49% delas ainda não elaboraram plano de ação para atendimento integral à LGPD
Contexto organizacional	a maioria das organizações, 76%, conduziu iniciativa para identificar esses normativos. Por outro lado, 77% ainda não identificaram todas as categorias de titulares de dados pessoais com os quais mantém relacionamento
Liderança (nomeação do encarregado e existência de políticas)	24% das organizações não possuem Política de Segurança da Informação ou instrumento similar. Apenas 35% das organizações possuem Política de Classificação da Informação e 18% das organizações mantem Política de Proteção de Dados Pessoais ou documento similar
Capacitação	a minoria das organizações, 29%, possui Plano de Capacitação que abrange a proteção de dados pessoais, o que representa um risco organizacional. Isso porque a LGPD é uma legislação técnica e de difícil compreensão, que exige estudo para que as organizações adquiram maturidade no tema
Operações de tratamento de dados pessoais	82% das organizações não possuem um registro instituído para consolidar informações relacionadas às características das atividades de tratamento de dados pessoais.
Compartilhamento de dados pessoais	esse fator demanda a adoção de controles adequados para mitigar riscos que possam comprometer a consistência e a proteção dos dados pessoais. Apenas 14% das organizações identificaram todos os dados pessoais compartilhados com terceiros
Controle de acesso em sistemas	apenas 16% das organizações implementaram tal processo em todos os sistemas que realizam tratamento de dados pessoais, o que representa alto risco de acesso indevido a dados pessoais e, consequentemente, pode violar a privacidade dos cidadãos

INDICADOR DE ADEQUAÇÃO À LGPD

O trabalho também comparou as organizações auditadas quanto ao nível de adequação à LGPD e as classificou em quatro níveis: inexpressivo, inicial, intermediário e aprimorado. Os resultados mostraram que 17,8% estão no nível inexpressivo; 58,9% estão no nível inicial; 20,4% estão no nível intermediário e 2,9% estão no nível aprimorado.

A conclusão do diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD apresentou, portanto, situação de alto risco à privacidade dos cidadãos que têm dados pessoais coletados e tratados pela Administração Pública Federal.

Em consequência dos trabalhos, o Tribunal recomendou que a Secretaria de Governo Digital do Ministério da Economia, o Conselho Nacional de Justiça e o Conselho Nacional do Ministério Público editem normativos e guias, consultando a Autoridade Nacional de Proteção de Dados e o Gabinete de Segurança Institucional da Presidência da República, para auxiliar o processo de adequação das organizações à LGPD.

A Corte de Contas também recomendou à Casa Civil da Presidência da República e ao Ministério da Economia que adotem as medidas necessárias para alterar a natureza jurídica e promover a reestruturação organizacional da Autoridade Nacional de Proteção de Dados, conferindo o grau de independência e os meios necessários para o pleno exercício de suas atribuições.

A unidade técnica do TCU responsável pela fiscalização foi a Secretaria de Fiscalização de Tecnologia da Informação. O relator do processo é o ministro Augusto Nardes.

Acompanhe o TCU pelo Twitter e pelo Facebook. Para reclamações sobre uso irregular de recursos públicos federais, entre em contato com a Ouvidoria do TCU, clique aqui ou ligue para 0800-6442300

Quais as consequências do uso indevido de dados pessoais?

Quem infringir a lei fica sujeito a advertência, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções. O responsável que, em razão do exercício de atividade de tratamento de dados, causar dano patrimonial, moral, individual ou coletivo, é obrigado a repará-lo.

Qual o maior risco no tratamento indevido dos dados pessoais?

Armazenamento inseguro de dados O resultado dessa falta de cuidado com o armazenamento de dados é um só: credenciais e dados pessoais mais vulneráveis a roubo e sequestro, o que representa um grande risco frente às determinações da LGPD.

Quais são os principais riscos para os clientes LGPD?

Quais os riscos de não seguir a Lei Geral de Proteção de Dados (LGPD)?.

Multas de até 50 milhões. A Lei Geral de Proteção de Dados prevê sanções de 2% sobre o faturamento ou até R$ 50 milhões. ... .

Má reputação para sua empresa. ... .

Perda de parceiros. ... .

Exclusão dos dados..

O que é violação de dados de terceiros?

Resposta. Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados.