Ontem, no dia 22.02.2021, a Autoridade Nacional de Proteção de Dados (ANPD) abriu o prazo para contribuições sobre a notificação de incidentes de segurança, regulada pelo art. 48 da LGPD.
Dentre os temas que a ANPD espera contribuições, estão:
- Critérios que devem ser levados em consideração para classificação de riscos;
- Categorias de riscos;
- Como distinguir o risco ao titular do dano ao titular;
- Prazos razoáveis para informar ao titular e as informações que devem constar nessa comunicação;
- Formas de realizar a comunicação de incidente ao titular;
- Exceções à obrigatoriedade de informar a ANPD e o titular;
- Critérios para análise do incidente de segurança e metodologias para referida análise;
- Medidas técnicas e administrativas a serem recomendadas no pós incidente.
As contribuições devem ser enviadas até o dia 24 de março de 2021.
Enquanto a regulamentação não é realizada, a ANPD disponibilizou um formulário de comunicação de incidente de segurança de dados pessoais, bem como o documento que contém orientações sobre o que fazer em caso de um incidente, que pode ser acessado em https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Veja abaixo um overview das instruções da ANPD sobre o tema:
-
O que fazer em caso de um incidente de segurança de dados pessoais.
A ANPD sugere que:
- o incidente seja avaliado, considerando-se sua natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis;
- o encarregado e (se você for o operador) o controlador de dados sejamcomunicados;
- a ANPD e o titular de dados sejam comunicados, em caso de risco ou dano relevante aos titulares; e
- seja elaborado documentocom a avaliação interna do incidente.
-
O que comunicar à Autoridade Nacional de Proteção de Dados
A ANPD detalha a série de informações que precisam ser apresentadas no momento da comunicação de um incidente. A ANPD recomenda que os controladores adotem posição de cautela, devendo comunicar mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. E ressalta, ainda, que a subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à LGPD.
-
Em que situação e o que comunicar ao titular dos dados
É recomendável que a comunicação seja realizada sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.
Apesar de ainda não existirem critérios para a definição de tais aspectos, a ANPD já estabelece que a probabilidade de risco ou dano ao titular será maior sempre que envolver: (i) dados sensíveis; (ii) dados de indivíduos em situação de vulnerabilidade, como crianças e adolescentes; e (iii) dados que dados que possam ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.
Além disso, a ANPD recomenda que seja levado em consideração o volume de dados envolvido, a quantidade de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
-
Qual é o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados
Enquanto pendente a regulamentação, a ANPD recomenda que, havendo risco relevante no incidente, a comunicação seja encaminhada no prazo de até 2 dias úteis, contados da data do conhecimento do incidente.
-
Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados
A comunicação deverá ser feita por meio de Peticionamento Eletrônico – Usuário Externo, disponível em: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
new RDStationForms(‘privacidade-e-protecao-de-dados-fd01f030b44e4e20cbea’, ‘UA-91686746-1’).createForm();
A equipe de Proteção de Dados do Baptista Luz manterá você informado, e está à disposição para esclarecer quaisquer dúvidas.
