Recentemente, a Data Protection Commission Ireland aplicou #multa de 460.000 Euros a uma Clínica Médica e Odontológica por violação aos #dados de pacientes e colaboradores (Decisão aqui: https://lnkd.in/dZHq2ktF).

Ao fim de 2019, a Clínica sofreu ataque de #ransomware – software de extorsão que pode bloquear sistemas e depois exigir dinheiro para desbloqueá-lo. Os crackers obtiveram o acesso, criptografaram os dados dos pacientes e solicitaram pagamento para devolução dos arquivos de dados.

Uma das razões para impor a #sanção administrativa foi a inadequação e perecimento da avaliação de #riscos realizada pela empresa.

Em análise do caso, percebeu-se que a documentação pertinente à identificação dos riscos à privacidade não estava adequada:

a) A última revisão periódica da infraestrutura de TI e rede em toda a organização havia ocorrido em maio de 2018 (1 ano e 7 meses antes do incidente);

b) Armazenamento de documentos em plataformas já inativas, o que teria ensejado a eliminação total dos dados armazenados na plataforma e;

c) Avaliação de proteção de dados realizada em dezembro de 2017 (2 anos antes do incidente).

Ou seja, a empresa defasou seu nível de segurança.

Para alcançar um nível de segurança adequado, a empresa deve ter a capacidade de garantir a confidencialidade, integridade e disponibilidade dos sistemas e serviços de #tratamento de dados.

Isso inclui a implementação de medidas adequadas de proteção, como senhas e #criptografia de dados em repouso, testes regulares de medidas técnicas, criação de #backups adequados e seguros dos dados pessoais, bem como medidas eficazes e abrangentes para restaurar todos os dados pessoais a partir dos backups em caso de #incidente, além da implementação de #firewalls.

É comum a crença de que #políticas e #procedimentos são suficientes a implementação de um nível adequado de segurança, conforme ocorreu nesse caso. Contudo, apenas tê-los não é suficiente para mitigar riscos aos #titulares de dados.

É responsabilidade do #controlador avaliar regularmente a eficácia das medidas. É necessário supervisionar continuamente e verificar como funcionários e terceiros aplicam as políticas e procedimentos estabelecidas, o que não se verificou nesse caso, ensejando a sanção administrativa de 460 mil euros.

E você, vai esperar o incidente se concretizar para tomar a atitude de realizar, aplicar, monitorar e avaliar procedimentos para garantir que as medidas de segurança sejam eficazes à proteção dos dados e que sejam suficientemente documentadas?

#legal #digital #risks #tecnologia #technology #inovacao #lgpd #gdpr #anpd #proteçãodedados #dataprotection #privacidade #privacy #dadopessoal #personaldata #cybersegurança #cybersecurity #direito #entretenimento #marca #inpi #propriedadeintelecutal #propriedadeindustrial #governanca #compliance