A ISO/IEC trata como evento de segurança (security event) qualquer ocorrência que indique a possibilidade de causar violação à segurança (security breach), e como incidente de segurança (security incident) qualquer ocorrência de evento (s) de segurança que tenha (m) alta probabilidade de causá-la.
O National Institute of Standards and Technology (NIST) prefere adotar o termo evento (event) para qualquer ocorrência de segurança em meios digitais, incluindo as que não indiquem possibilidade de causar violação à segurança (security breach), e de incidente de segurança (security incident) as que possam causá-la, neste segundo caso concordando com a ISO/IEC.
A IAPP estende essa interpretação tratando como incidente de privacidade (privacy incident) qualquer ocorrência que envolva dados pessoais e que viole as políticas de privacidade de uma organização, e como violação a dados (data breach) qualquer ocorrência de incidente de privacidade que se enquadre em definições previstas em legislações de proteção de dados aplicáveis.
Já o Regulamento Geral de Proteção de Dados Europeu (RGPD), nas definições presentes em seu artigo 4, adotou o termo violação a dados pessoais (personal data breach), a Lei Geral de Proteção de Dados Brasileira (LGPD), conforme a redação de seu artigo 48, preferiu intitulá-la de “incidente de segurança que possa acarretar risco ou dano relevante aos titulares”, e a Autoridade Nacional de Proteção de Dados (ANPD), por seu turno, escolheu a expressão “incidente de segurança com dados pessoais”.
Independentemente da terminologia utilizada, para fins de LGPD, quando da ocorrência de data breachs (ou incidentes de segurança com dados pessoais, etc), como os famosos “vazamentos de dados”, o controlador (agente de tratamento que decide sobre o tratamento) deverá comunicar a ANPD e os titulares em prazo razoável e detalhando o incidente, o que atrai a necessidade de criação, prévia, de um plano de resposta a incidentes e de um plano de notificação de incidentes, a serem utilizados, quando necessário, por equipes devidamente capacitadas nesses temas.
Referências:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27035:ed-1:v1:en
https://csrc.nist.gov/glossary/term/event
https://csrc.nist.gov/glossary/term/security_incident
https://iapp.org/news/a/is-it-an-incident-orabreach-how-to-tell-and-why-it-matters/
https://gdpr-info.eu/art-4-gdpr/
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-segurança
Artigo por: Cleórbete Santos, Analista de inteligência pela Escola Superior de Guerra. DPO certificado e instrutor de Proteção de Dados pela EXIN, Doutorando, Mestre (com louvor) e Graduado em TI.
Fique por dentro de tudo que acontece no mundo jurídico no Portal Juristas, siga nas redes sociais: Facebook, Twitter, Instagram e Linkedin. Participe de nossos grupos no Telegram e WhatsApp. Adquira sua certificação digital e-CPF e e-CNPJ na com a Juristas Certificação Digital, entre em contato conosco por email ou pelo WhatsApp (83) 9 93826000
