ANPD determina prazo de 2 dias para comunicação de incidentes de segurança.

A Autoridade Nacional de Proteção de Dados publicou em 31/03/2021, orientação sobre Comunicação de incidentes de segurança.

Primeiramente cabe mencionar que é incidente de segurança

Segundo a orientação é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

Quando verificado o incidente, o controlador (art. 48 da LGPD) deve:

-Comunicar ao encarregado (Art. 5º, VIII da LGPD);

-Comunicar ao controlador, se você for o operador, nos termos da LGPD;

-Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e

-Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

Mas todos incidentes devem ser informado? Não, apenas aqueles que contem riscos ou dano relevante aos direitos dos titulares devem-se comunicar á ANPD.

Mas o que deve constar nessa comunicação?

1)Identificação e dados de contato de:

-Entidade ou pessoa responsável pelo tratamento.

-Encarregado de dados ou outra pessoa de contato.

-Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.

2)As informações sobre o incidente de segurança com dados pessoais:

-Data e hora da detecção.

-Data e hora do incidente e sua duração.

-Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.

-Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados

-Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.

-Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.

-Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.

-Resumo das medidas implementadas até o momento para controlar os possíveis danos.

-Possíveis problemas de natureza transfronteiriça.

-Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.

O prazo para essa comunicação deverá ser de ate 2 dias, contados da data de conhecimento do incidente.

A orientação ainda informa que a comunicação do incidente deverá ser feito por peticionamento eletrônico do site da ANPD, através do preenchimento de formulário eletrônico. Vale lembrar que tais requisitos são determinantes para aplicação ou não de multas e demais penalidades.

Dúvidas, deixe nos comentários

Sergio Ari de Souza

Graduado em Administração e Direito, Pós Graduando em Direito Digital e Proteção de Dados, especialista em LGPD, Analista em Segurança da Informação e membro da ANPPD.

Deixe um comentário