Incidentes de segurança devem ser comunicados em até 2 dias úteis, segundo ANPD.
(09/03/2021)
Prezados clientes e colaboradores:
A Autoridade Nacional de Proteção de Dados – ANPD, publicou em 22 de fevereiro, o formulário de comunicação de incidente de segurança de dados pessoais, assim como, diretrizes sobre como as empresas devem agir e o que deve ser feito em caso de incidentes de segurança de dados pessoais.
Diante disso, nos perguntamos, o que é incidente de segurança?
Segundo a ANPD, um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Portanto, nestes casos, os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Como agir em caso de incidente de segurança de dados pessoais?
A empresa deve realizar as seguintes ações: (a) avaliar internamente o incidente; (b) comunicar ao encarregado; (c) comunicar ao controlador; (d) comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares; e (e) elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco.
O que comunicar à Autoridade Nacional de Proteção de Dados?
A ANPD recomenda que os controladores adotem posição de cautela, de modo que toda a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.
As informações devem ser claras e concisas. Além do que prescreve o §1º do artigo 48 da LGPD, recomenda-se que a comunicação contenha todas as informações disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD. Para mais informações a respeito, acesse o formulário em: SEI – Peticionamento Eletrônico.
No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.
Em que situação e o que comunicar ao titular dos dados?
O titular dos dados deve ser comunicado sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados, e principalmente, se envolver: (a) dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes; ou (b) em caso de potencial causa de danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;
Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados. A Autoridade informa ainda que, critérios mais objetivos serão objeto de futura regulamentação.
Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Nossa equipe, como sempre, está à disposição para auxiliar nas repercussões desse tema.