A Autoridade Nacional de Proteção de Dados – ANPD divulgou, por meio de seu site institucional, formulário para a comunicação de ocorrência de incidentes de segurança relativos a dados pessoais e dados pessoais sensíveis. O documento é fundamental para a observância de uma das obrigações previstas na Lei Geral de Proteção de Dados Pessoais – LGPD.
O que é um incidente de segurança de dados pessoais?
O incidente de segurança com dados pessoais se configurar como qualquer evento adverso, confirmado ou sob suspeita que possa resultar na perda, alteração, vazamento ou destruição de dados pessoais ou, ainda, possa acarretar o tratamento inadequado ou ilícito desses dados.
É obrigação dos agentes de tratamento pessoal adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais desses eventos adversos e é obrigação do controlador de dados pessoais comunicar ao titular de dados pessoais e a ANPD caso um desses eventos possa acarretar risco ou dano relevante.
Como comunicar um incidente de dados pessoais?
O titular de dados deverá ser diretamente comunicado pelo operador, através de seu e-mail ou outro meio de contato disponível. A comunicação à ANPD deverá ser realizada com o preenchimento e envio do formulário eletrônico (disponível aqui) por meio do portal de Peticionamento Eletrônico – Usuário Externo do site da ANPD (SEI - Acesso Externo (presidencia.gov.br)). Após a realização do cadastro pelo próprio portal, o controlador receberá um login e senha para acesso ao portal e envio da comunicação.
Quais informações devem comunicadas e qual o prazo para comunicação?
As informações mínimas necessárias para a comunicação de incidentes de segurança estão previstas no parágrafo 1º, do artigo 48, da LGPD, são elas: (i) descrição da natureza dos dados pessoais afetados; (ii) informações sobres os titulares envolvidos; (iii) indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) riscos relacionados ao incidente; (v) motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Além das informações previstas em lei, o formulário disponibilizado pela ANPD possui informações adicionais, que também deverão ser encaminhadas, como, por exemplo, data e hora da detecção e a duração do incidente.
A LGPD não trouxe nenhuma previsão específica quanto ao prazo para a comunicação do incidente de segurança com dados pessoais, relegando o estabelecimento a uma posterior regulação da ANPD.
Apesar de não ter sido expedido nenhum normativo do órgão sobre o tema, ao disponibilizar o formulário, a ANPD indicou o prazo de 02 (dois) dias úteis, contado da ciência do evento adverso, como razoável para a comunicação do incidente.
Maiores informações sobre o formulário de comunicação de incidentes de segurança com dados pessoais e a comunicação a ANPD podem ser obtidas aqui.
Comments