A Resolução ANPD nº 15 e seus impactos na segurança de dados
Redes hoteleiras, donos de hotéis e especialistas em TI, preparem-se para uma profunda análise dos pontos cruciais da Resolução
Artigo de Ricardo Weberman e Josmar L. Giovannini Jr*
A hospitalidade brasileira encontra-se em um novo capítulo: a era da segurança da informação. A promulgação da Resolução CD/ANPD nº 15, em 24 de abril de 2024, apelidada de RCIS – Regulamento de Comunicação de Incidentes de Segurança, marca um divisor de águas na forma como os hotéis do país lidam com os dados preciosos de seus hóspedes. Este artigo tem como objetivo principal desvendar os meandros da Resolução nº 15 e seus impactos na rotina dos hotéis brasileiros.
Redes hoteleiras, donos de hotéis e especialistas em TI, preparem-se para uma profunda análise dos pontos cruciais da Resolução, desde seus objetivos até as medidas práticas para garantir a conformidade e a segurança dos dados dos seus hóspedes.
Mergulhando no universo da Resolução nº 15: Uma análise abrangente.
A Resolução nº 15, publicada pela ANPD – Autoridade Nacional de Proteção de Dados, estabelece um conjunto de regras e procedimentos para a comunicação de incidentes de segurança que coloquem em risco os dados dos hóspedes. Em outras palavras, ela atua como um farol na névoa, orientando os hotéis na árdua missão de proteger as informações confidenciais de seus clientes, desde o nome completo até o número do cartão de crédito.
Mas afinal, quais são os principais pontos a serem observados?
- Aplicabilidade: A Resolução nº 15 abrange todos os hotéis brasileiros, independentemente do porte. Isso significa que, seja você dono de um pequeno hotel familiar ou de uma rede hoteleira multinacional, a norma se aplica a você.
- Objetivo: O foco principal da Resolução é garantir a transparência e a agilidade na comunicação de incidentes de segurança. Isso significa que, em caso de falhas que coloquem em risco os dados dos hóspedes, os hotéis precisam agir com rapidez e informar tanto a ANPD quanto os titulares dos dados afetados.
- Quando comunicar: A comunicação deve ser feita em até 72 horas após o conhecimento do incidente para a ANPD. A comunicação de incidente de segurança ao titular deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, e deverá conter uma série de informações especificadas pela ANPD.
- Conteúdo da comunicação: A comunicação deve ser clara, completa e conter informações como a descrição do incidente, as medidas tomadas para conter o problema e os riscos aos quais os hóspedes estão expostos. A comunicação de incidente de segurança deverá ocorrer por meio de formulário eletrônico disponibilizado pela ANPD, sendo realizada pelo controlador, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD.
- Registro de incidentes: Todos os incidentes de segurança, mesmo aqueles que não forem comunicados à ANPD, devem ser registrados e armazenados por no mínimo cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção.
- Penalidades: A ANPD poderá fixar multa diária para assegurar o cumprimento da determinação prevista no caput, na forma do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
Ações práticas para garantir a conformidade e a segurança: Um guia para o sucesso
A Resolução nº 15 não se limita a impor regras; ela também oferece um caminho claro para a conformidade e a segurança da informação.
Para te ajudar nessa jornada, separamos algumas dicas valiosas:
- Implemente medidas de segurança robustas: Invista em tecnologias de proteção de dados, como firewalls, antivírus e criptografia, para garantir a confidencialidade e a integridade dos dados dos seus hóspedes.
- Treine seus colaboradores: A equipe do hotel é a linha de frente na defesa contra as ameaças cibernéticas. Ofereça treinamentos regulares sobre segurança da informação para que todos estejam cientes dos riscos e das medidas de prevenção.
- Crie um plano de resposta a incidentes: Defina um plano de ação detalhado para lidar com incidentes de segurança, incluindo a identificação do problema, a contenção do dano, a comunicação aos envolvidos e a recuperação dos sistemas.
- Realize testes de vulnerabilidade e auditorias de segurança: Avalie periodicamente a segurança da sua infraestrutura e dos seus sistemas para identificar e corrigir falhas de segurança.
- Entenda profundamente como realiza o tratamento de dados pessoais, respeitando as necessidades internas e os seus modelos de negócio.
- Conte com o apoio de especialistas: Busque a assessoria de profissionais especializados na realização (e manutenção) das adequações de empresas aos requisitos legais da LGPD para garantir a conformidade com a LGPD.
Lembre-se: a segurança de dados não é um custo, mas um investimento que garante a reputação do seu hotel e a fidelização dos seus hóspedes. Abrindo o baú dos termos técnicos: Um glossário para desvendar a linguagem da segurança.
Para navegarmos juntos pelas águas da Resolução nº 15, é fundamental que alguns termos técnicos se tornem nossos amigos:
- Incidente de segurança: Evento que compromete a segurança das informações ou dos dados pessoais, podendo gerar riscos ou danos aos titulares.
- Comunicação de incidente de segurança: Notificação à ANPD e aos titulares dos dados sobre a ocorrência de um incidente de segurança.
- Titular dos dados: Pessoa física a quem se referem os dados pessoais coletados pelo hotel.
- Tratamento de dados: Qualquer operação realizada com dados pessoais, como coleta, armazenamento, utilização, comunicação, compartilhamento, eliminação e arquivamento.
- Medidas de segurança: Procedimentos, técnicas e soluções administrativas, físicas e tecnológicas empregadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação indevida ou qualquer outra forma de tratamento ilícito ou que viole a LGPD.
- Plano de resposta a incidentes: Conjunto de medidas e procedimentos a serem adotados em caso de incidente de segurança, com o objetivo de minimizar os danos e restaurar o normal funcionamento dos sistemas.
- Teste de vulnerabilidade: Avaliação sistemática da infraestrutura e dos sistemas para identificar falhas de segurança que possam ser exploradas por cibercriminosos.
- Auditoria de segurança: Análise aprofundada da segurança da informação do hotel, abrangendo aspectos como políticas de segurança, procedimentos, controles técnicos e administrativos, além da conformidade com a LGPD.
A Resolução nº 15 representa um passo crucial na jornada da hotelaria brasileira rumo à maturidade em segurança da informação. Ao abraçar as mudanças e investir na proteção dos dados dos seus hóspedes, os hotéis não apenas cumprirão a lei, mas também construirão um futuro mais seguro e próspero para o setor. Juntos, podemos construir uma hotelaria brasileira mais segura, transparente e confiável!
Aviso Legal: Este texto sobre a LGPD é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou orientação profissional. As informações aqui contidas não se destinam a ser uma interpretação abrangente ou exaustiva da LGPD. A aplicação da LGPD pode variar dependendo de circunstâncias individuais, e os leitores são encorajados a buscar aconselhamento profissional especializado para entender como a lei se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas.
*Ricardo Weberman é Advogado, sócio do GMW Advogados Associados. Contato: https://gmwadvogados.com.br e Josmar L. Giovannini Jr. Engenheiro, Presidente Fundador da Conformidados Treinamento, Educação e Consultoria Ltda. Contato: www.conformidados.com.br
