La Asociación Brasileña de Internet (Abranet) ha remitido a la Autoridad Nacional de Protección de Datos (ANPD) sus aportes sobre la toma de subsidios en la regulación de algunos temas de la Ley General de Protección de Datos Personales (LGPD). En el documento, entregado el pasado miércoles 24, la entidad propone que las incidencias de seguridad se dividan en tres niveles, según los riesgos y potenciales de daño. También señala qué casos deben quedar exentos de notificación obligatoria, entre otras sugerencias.
Para Abranet, la notificación a la ANPD y a los interesados solo sería obligatoria cuando existieran incidentes considerados de gran relevancia. En este caso, la incidencia debería permitir identificar a los titulares, como nombre, CPF, RG y dirección; o involucrar datos sensibles que no están enmascarados y que pueden asociarse con sus titulares (ambos independientemente del porcentaje de datos afectados en la base del controlador); o incluso involucrar información que corresponda a más del 50% de la base de datos.
Los casos de relevancia baja y media quedarían exentos de notificación. Como de baja relevancia, propone: las incidencias cuyos datos, por separado, no permitan la identificación de los titulares; datos enmascarados o encriptados; y datos correspondientes al 30% o menos de la base de datos del controlador. Relevancia media: incidencias que no permiten la identificación del titular y que los datos corresponden del 30% al 50% a la base de datos.
vea eso
El nivel de tratamiento de datos para LGPD en el 25% de las empresas brasileñas es cero
Cómo cumplir con la LGPD con virtualización de datos
En el documento, Abranet también propone que el incidente de seguridad no se considera relevante cuando existen casos de phishing o compartir contraseñas, ya que el cuidado con las credenciales de acceso es responsabilidad del titular y no del controlador. Lo mismo se aplicaría si el titular utiliza la misma credencial para varios servicios / productos y se produce la fuga.
Otro punto importante se refiere a la diferenciación entre riesgo y daño. “Para que se considere daño al interesado, es necesario que efectivamente se haya producido un daño material o moral al interesado. Siempre que no ocurra ningún daño, se clasificaría como riesgo ”, dice la propuesta. Como ejemplo, cita: “En caso de fuga del nombre, CPF y RG del titular, el incidente entrará en la categoría de riesgo hasta que el titular se vea afectado, como, por ejemplo, con el intento o realización de fraude financiero y / o robo de identidad ”.
Abranet también sugiere algunas metodologías establecidas para medir y evaluar riesgos y daños: ISO 27001, CERT, CSIRT, FIRST, IRM, FAIR y OCTAVE. En cuanto al plazo de notificación, la propuesta es que se realice en hasta cinco días, tanto para la ANPD como para los interesados. Siempre que sea posible, el incidente debe ser informado directamente al titular, excepto aquellos que involucren datos de millones de usuarios. En ese caso, la comunicación podría ser pública.
Fuente: https://www.cisoadvisor.com.br/abranet-defende-que-incidente-so-seja-notificado-em-casos-de-alta-relevancia/?rand=59052
