Recentemente, a Data Protection Commission Ireland aplicou #multa de 460.000 Euros a uma Clínica Médica e Odontológica por violação aos #dados de pacientes e colaboradores (Decisão aqui: https://lnkd.in/dZHq2ktF).
Ao fim de 2019, a Clínica sofreu ataque de #ransomware – software de extorsão que pode bloquear sistemas e depois exigir dinheiro para desbloqueá-lo. Os crackers obtiveram o acesso, criptografaram os dados dos pacientes e solicitaram pagamento para devolução dos arquivos de dados.
Uma das razões para impor a #sanção administrativa foi a inadequação e perecimento da avaliação de #riscos realizada pela empresa.
Em análise do caso, percebeu-se que a documentação pertinente à identificação dos riscos à privacidade não estava adequada:
a) A última revisão periódica da infraestrutura de TI e rede em toda a organização havia ocorrido em maio de 2018 (1 ano e 7 meses antes do incidente);
b) Armazenamento de documentos em plataformas já inativas, o que teria ensejado a eliminação total dos dados armazenados na plataforma e;
c) Avaliação de proteção de dados realizada em dezembro de 2017 (2 anos antes do incidente).
Ou seja, a empresa defasou seu nível de segurança.
Para alcançar um nível de segurança adequado, a empresa deve ter a capacidade de garantir a confidencialidade, integridade e disponibilidade dos sistemas e serviços de #tratamento de dados.
Isso inclui a implementação de medidas adequadas de proteção, como senhas e #criptografia de dados em repouso, testes regulares de medidas técnicas, criação de #backups adequados e seguros dos dados pessoais, bem como medidas eficazes e abrangentes para restaurar todos os dados pessoais a partir dos backups em caso de #incidente, além da implementação de #firewalls.
É comum a crença de que #políticas e #procedimentos são suficientes a implementação de um nível adequado de segurança, conforme ocorreu nesse caso. Contudo, apenas tê-los não é suficiente para mitigar riscos aos #titulares de dados.
É responsabilidade do #controlador avaliar regularmente a eficácia das medidas. É necessário supervisionar continuamente e verificar como funcionários e terceiros aplicam as políticas e procedimentos estabelecidas, o que não se verificou nesse caso, ensejando a sanção administrativa de 460 mil euros.
E você, vai esperar o incidente se concretizar para tomar a atitude de realizar, aplicar, monitorar e avaliar procedimentos para garantir que as medidas de segurança sejam eficazes à proteção dos dados e que sejam suficientemente documentadas?
Texto escrito por Daniele Sousa, originalmente publicado no Linkedin.
