A proteção dos dados pessoais dos assinantes é responsabilidade fundamental dos provedores de internet diante da Lei Geral de Proteção de Dados (LGPD). A Resolução nº 740/2020 da Anatel reforça princípios e requisitos essenciais para a adoção de práticas de segurança, tornando obrigatório para o setor um cuidado cada vez maior.

A seguir, apresentamos um resumo das principais recomendações em três fases: Prevenção, Resposta e Avaliação de Impacto.

1. Prevenção: Medidas Fundamentais de Segurança

Política de Segurança Cibernética: Segundo a Resolução nº 740/2020 da Anatel, os provedores devem elaborar uma política formal que contemple autenticidade, integridade, disponibilidade e confidencialidade dos dados. Neste contexto algumas ações são recomendadas, como:

Treinamento e Conscientização: Realize treinamentos regulares sobre proteção de dados e segurança da informação com toda a equipe.

Gestão de Acessos: Mantenha controles sobre identidades, autenticações e acessos privilegiados aos dados dos assinantes.

Tecnologias de Proteção: Implemente soluções técnicas como criptografia, backups, antivírus, firewall, monitoramento de sistemas e ferramentas de prevenção contra vazamentos.

Gestão de Vulnerabilidades: Realize testes periódicos, análise de vulnerabilidades e aplique correções de segurança conforme orientações da resolução.

2. Resposta a Incidentes: Atuação Rápida e Documentada

Plano de Ação: Mantenha plano de resposta a incidentes estruturado conforme exigido pela Resolução nº 740/2020, envolvendo equipes técnica, administrativa e jurídica.

Medidas Administrativas e Técnicas: Inclua revisão das políticas internas, notificações à equipe, isolamento imediato de sistemas afetados e aplicação de medidas corretivas.

Registro Detalhado: Documente todo o processo, desde a detecção até a resolução do incidente, facilitando revisões e eventuais auditorias.

3. Avaliação de Impacto e Comunicação de Incidentes

Análise de Criticidade: Avalie se o incidente causa risco ou dano relevante aos titulares, considerando volume e tipologia dos dados, natureza dos impactos e controles existentes.

Notificação à ANPD e aos Titulares: Caso seja constatado risco ou dano relevante, a LGPD e a Resolução nº 740/2020 exigem comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e à Agência Nacional de Telecomunicações (Anatel)

Informações Obrigatórias: Inclua na notificação a descrição do incidente, dados comprometidos, ações de mitigação e, se aplicável, justificativas para eventuais atrasos no envio das informações.

Resumidamente, para garantir a segurança dos dados pessoais dos assinantes, é fundamental que os provedores de internet adotem políticas robustas de proteção da informação, alinhadas à Resolução nº 740/2020 da Anatel, priorizando tanto a prevenção quanto a capacitação contínua de seus colaboradores.

Além disso, é indispensável a existência de um plano de resposta a incidentes bem documentado e eficiente, que permita agir com rapidez e precisão diante de qualquer ocorrência.

Por fim, deve-se assegurar uma comunicação transparente e tempestiva à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, sempre que houver risco ou dano relevante, detalhando o incidente e as providências tomadas em conformidade com as exigências legais.

Em que pese certas exigências da Resolução nº 740/2020 da Anatel não serem aplicáveis aos prestadores de pequeno porte é altamente recomendável que os mesmos implementem integralmente as regras estabelecidas, aplicáveis à sua realidade, como forma de se manterem competitivos no mercado e oferecerem máxima segurança de dados aos seus assinantes.