Opinião
Nova resolução da Aneel traz mais segurança para agentes do setor elétrico
Importante notar que a Resolução 964 não é a única norma aplicável aos agentes do setor elétrico, no que tange a segurança cibernética, parte de todo um arcabouço legislativo sobre o tema
Desde que entrou em vigor no Brasil a nova Lei Geral de Proteção de Dados, empresas de todos os setores e segmentos passaram a ter em seus horizontes a preocupação com a segurança cibernética e o correto manejo dos dados que estão sob sua responsabilidade.
Nesta seara, o setor elétrico acaba de receber novas normas editadas pela Agência Nacional de Energia Elétrica (Aneel), por meio da Resolução Normativa 964, que definiu diretrizes para os agentes do setor.
A referida resolução, publicada no final do ano passado, trouxe diretrizes relacionadas à política de segurança cibernética que devem ser adotadas pelos agentes do setor elétrico. Entre as diretrizes estão a adoção de normas, padrões e referências de boas práticas em segurança cibernética; e identificação, proteção, diagnóstico, resposta e recuperação dos incidentes cibernéticos.
Como exemplos de conteúdo mínimo, estão a aplicação com periodicidade anual de, pelo menos, um modelo de maturidade em segurança cibernética; a classificação dos dados e das informações quanto à relevância; e a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes.
Existem ainda outras obrigações:
- Notificação da equipe de coordenação setorial designada aos incidentes cibernéticos de maior impacto, que afetam de maneira substancial a segurança das instalações, a operação ou os serviços dos usuários ou de dados;
- Adoção de procedimento de compartilhamento de informações sobre ameaças e outras informações relativas à segurança cibernética, de forma sigilosa e não discriminatória;
- Manutenção de registros e envio para a Aneel, ou para a equipe de coordenação setorial designada, as seguintes informações sempre que solicitadas: os resultados dos modelos de maturidade; os riscos cibernéticos identificados, com a respectiva forma de tratamento; e os dados das equipes de prevenção, tratamento e resposta a incidentes cibernéticos.
Dessa forma, os agentes do setor elétrico brasileiro terão de adotar procedimentos (ou fortalecer os cuidados já existentes) visando a proteção das informações processadas e transmitidas. Não se trata mais de uma questão de boas práticas, mas de necessidade, tanto para a manutenção e crescimentos de negócios, como para evitar a aplicação de penalidades.
Importante notar que a Resolução 964 não é a única norma aplicável aos agentes do setor elétrico, no que tange a segurança cibernética. Ela faz parte de todo um sistema legislativo envolvendo o assunto, integrado por normas como as da própria LGPD, do Marco Civil da Internet e também do Código de Defesa do Consumidor.
O prazo para adequação às normas de segurança cibernética trazidas pela Resolução 964 é 1º de julho deste ano. São aguardadas outras resoluções regulamentando o tema por órgãos do setor elétrico, sendo necessário acompanhar a evolução normativa. A violação dará causa à aplicação das sanções cabíveis. O artigo 5º da Resolução Normativa Aneel nº 846/2019 descreve as sanções administrativas aplicáveis às infrações pelo descumprimento da legislação setorial.
Além disso, outras normas aplicáveis, como as mencionadas acima (LGPD, MCI e CDC), já se encontram em vigor e penalidades baseadas em sua violação já são cabíveis. De qualquer forma, a adequação a tais normas não deve ocorrer apenas com o propósito de evitar as penalidades dos órgãos públicos, uma vez que outros riscos existem no caso de sua violação. Por exemplo, um incidente de segurança da informação pode causar abalos na reputação de um agente e perdas financeiras extraordinárias, caso haja perda de dados que cause a impossibilidade de distribuição de energia por um longo período.
Tais normas buscam proteger os direitos e liberdades fundamentais dos titulares de dados, ou seja, os indivíduos aos quais dados pessoais se referem. Além disso, é importante destacar que tais regulamentos buscam também a proteção do negócio e a devida prestação dos serviços pelos agentes do setor elétrico, uma vez que incidentes de segurança podem acarretar prejuízos imensuráveis a um agente — inclusive relacionados à impossibilidade da prestação de serviços, o que pode afetar toda uma população. Ademais, isso cria um ambiente de maior segurança jurídica, para que os agentes entendam as obrigações que devem seguir com relação à segurança da informação e à proteção de dados.
Segurança cibernética é um assunto prioritário. Os tomadores de decisão dentro dos agentes devem estar muito cientes do assunto e designar orçamento e esforços compatíveis com sua relevância. Por isso, é fundamental haver projetos claros de adequação às normas de proteção de dados e segurança da informação e colocar em prática um plano de ação para conformidade, com foco especial no desenho da política cibernética.
Luiza Sato é sócia de ASBZ Advogados, responsável pela área de Proteção de Dados, Direito Digital e Propriedade Intelectual