INFORMATIVO: LGPD - Incidentes de Segurança – ANPD

PMAS | Pupin, Malosso, Antunes e Salvador - Sociedade de Advogados

Piracicaba (19) 2532-4747 | Americana (19) 3645-9040
PMAS | Pupin, Malosso, Antunes e Salvador - Sociedade de Advogados

Notícias e Artigos

PMAS | Pupin, Malosso, Antunes e Salvador - Sociedade de Advogados

INFORMATIVO: LGPD – Incidentes de Segurança – ANPD

INFORMATIVO: LGPD – Incidentes de Segurança – ANPD

Temos visto nos últimos meses a movimentação da Autoridade Nacional de Proteção de Dados – ANPD.

Recém-criada no país, a ANPD vem empreendendo esforços notáveis para a realização de seus objetivos.

Através da Portaria nº 21 de 27 de janeiro de 2021, a ANPD divulgou sua agenda regulatória para o biênio 2021-2022, ações que serão colocadas em prática a fim de regulamentar questões trazidas pela LGPD.

Em seguimento ao referido trabalho, no dia 22 de fevereiro, a ANPD divulgou a tomada de subsídios sobre as notificações a respeito de incidentes de segurança referidos no art. 48 da Lei Geral de Proteção de Dados, LGPD, Lei nº 13.709/2018 (item 6 da agenda regulatória).

De acordo com a ANPD, “as contribuições devem seguir o modelo divulgado no site da Autoridade e podem ser enviadas no formato .pdf. para o e-mail consultapublica@anpd.gov.br, com o assunto Tomada de Subsídios 2/2021, até o dia 24 de março de 2021.”

Além disso, a ANPD disponibilizou um mecanismo no formato de formulário para a comunicação de incidentes de segurança de dados pessoais até que nova regulamentação seja colocada em prática: https://www.gov.br/anpd/pt-br/assuntos/formulario-de-comunicacao-de-incidentes-de-seguranca-de-dados-pessoais_final-1.docx

 

Incidente de Segurança envolvendo Dados Pessoais:

 O incidente de segurança com dados pessoais, de acordo com a LGPD, são “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” de dados pessoais“.

A comunicação do incidente de segurança à ANPD e ao TITULAR dos dados é o primeiro passo no caminho da reparação dos efeitos deletérios do incidente e é corolário da transparência e boa-fé.

Não há tratamento de dados lícito se o agente de tratamento omite um incidente envolvendo dados pessoais. A consciência da lógica da proteção de dados conduz a organização a uma postura transparente a respeito das atividades que envolvam dados pessoais.

 

Descoberta do incidente e primeiras medidas

Considerando que o incidente foi detectado, o primeiro passo é dar conhecimento do fato ao Encarregado de Dados – DPO, o qual colocará em prática o plano de contingência de incidente de segurança.

Um levantamento minucioso a respeito da extensão do incidente é necessário. A presença de dados sensíveis e de crianças e adolescentes envolvidos no incidente é um alerta para que se redobre a atenção e cuidados com o incidente.

 

Dever de comunicar o incidente à ANPD e ao TITULAR

É dever do Controlador – portanto, não se trata de um ato de escolha – comunicar à ANPD e ao TITULAR a respeito da ocorrência do incidente de segurança que envolva dados pessoais que possa “acarretar risco ou dano relevantes aos titulares” (Art. 48 da LGPD).

Deve ser sublinhado que não são apenas os eventuais danos concretos, mas o mero risco de um dano já é suficiente para desencadear a obrigação de comunicar o incidente.

Dito isto, diante de um incidente que envolva dados pessoais, a questão precisa ser rapidamente avaliada e no caso de dúvida a respeito da existência de riscos ou danos aos titulares, a recomendação é que a ANPD seja comunicada a respeito do incidente.

Vale frisar que a ANPD manifestou que considera que “a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização”.

 

Controlador ou Operador comunica a ANPD?

 

O art. 48 da LGPD diz que é dever do CONTROLADOR comunicar à autoridade sobre a ocorrência do incidente de segurança que envolva dados pessoais.

Essa leitura pode fazer transparecer que o Operador está dispensado ou excluído do dever de realizar a comunicação.

As recentes orientações da ANPD não excluem o Operador da comunicação. Ao contrário, o recém divulgado mecanismo para a comunicação de incidentes de segurança contempla a possibilidade de o Operador realizar a comunicação do incidente.

De fato, possibilitar ao Operador realizar a comunicação do incidente é uma medida essencial e que atende a necessidade dos envolvidos na cadeia de tratamento de dados, afinal, o Operador tem dever de reparar eventual dano patrimonial causado em razão do tratamento de dados pessoais em determinadas situações (art. 42 da LGPD), além de obrigação de garantir a segurança da informação (art. 47 da LGPD). Logo, tem o interesse de expressar transparência e boa-fé de sua atividade.

 

Quais informações devem ser encaminhadas à ANPD?

O § 1º do artigo 48 da LGPD relaciona as informações que devem ser encaminhadas para a ANPD em caso de incidente de segurança que envolva dados pessoais:

  • a descrição da natureza dos dados pessoais afetados;
  • as informações sobre os titulares envolvidos;
  • a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • os riscos relacionados ao incidente;
  • os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A ANPD recomenda que, além das informações previstas na lei, a comunicação deve trazer:

  • Identificação e dados de contato de:
    • Entidade ou pessoa responsável pelo tratamento.
    • Encarregado de dados ou outra pessoa de contato.
    • Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.

 

  • Informações sobre o incidente de segurança de dados pessoais:
    • Data e hora da detecção.
    • Data e hora do incidente e sua duração.
    • Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
    • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados.
    • Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento.
    • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
    • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
    • Resumo das medidas implementadas até o momento para controlar os possíveis danos.
    • Possíveis problemas de natureza transfronteiriça.
    • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

 

Qual o prazo para comunicar um incidente de segurança?

A LGPD prevê que a comunicação do incidente de segurança seja realizada em “prazo razoável” (art. 48, § 1º), conforme será definido pela ANPD.

A regulamentação a respeito de tal prazo ainda não ocorreu e a ANPD considera que “a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização”, bem como, que “enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente”.

Informativo LGPD – Comunicação Incidente

Receba Nossas Novidades

Cadastre-se para receber as nossas novidades e dicas.

Fale Conosco


    Endereço

    Av. Independência, 350 - Ed. Primus Center, Salas 63 e 64 - Cidade Alta, Piracicaba - SP, 13419160

    R. José Bassetto, 116 - Jd. Santana, Americana - SP, 13478111

    Telefone

    PIRACICABA - (19) 2532-4747

    AMERICANA - (19) 3645-9040

    Email

    contato@advj.com.br