Em conformidade com a sua agenda regulatória, que estabelece para o 1º semestre de 2021 a elaboração de especificações sobre comunicação do controlador à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares em caso de incidentes de segurança, a ANPD publicou, em 23 de fevereiro de 2021, orientações para essa comunicação.
É importante ressaltar que essas orientações não possuem caráter vinculante, já que a matéria ainda está em processo de recebimento de subsídios e de consulta pública, o que apresenta a possiblidade de a ANPD fazer alterações posteriores.
- O que é?
É qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, que pode ocasionar risco para os direitos e liberdades do titular dos dados pessoais. Essa violação pode ser um acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração e vazamento de dados ou qualquer forma de tratamento de dados inadequada ou ilícita.
- Em que situação e o que comunicar ao titular dos dados?
Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados. Os critérios ainda serão regulamentados, mas pode-se extrair da LGPD que a probabilidade de risco ou dano relevante para os titulares será maior sempre que envolver dados sensíveis, titulares em situação de vulnerabilidade ou quando tiver o potencial de gerar danos materiais ou morais.
Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
- O que fazer?
- Avaliar internamente o incidente: natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados,consequências concretas e prováveis e medidas de segurança, técnicas e administrativas a serem adotadas;
- Comunicar ao encarregado de proteção de dados;
- Comunicar ao controlador, se você for o operador, nos termos da LGPD;
- Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares – a comunicação deve ser feita pelo controlador;
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas da LGPD
- O que comunicar à ANPD?
A ANPD disponibilizou um formulário para ser preenchido no momento da comunicação. Esse formulário solicita, dentre outras coisas:
-
- Identificação e dados de contato do responsável pelo tratamento, do encarregado ou de outra pessoa de contato.
- Indicação se a notificação é completa ou parcial. Se for parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
- Informações sobre o incidente de segurança:
- Data e hora da detecção e do incidente;
- Circunstâncias do incidente (como roubo, perda, vazamento etc.);
- Descrição dos dados afetados, possíveis consequências e medidas de segurança preventivas tomadas pelo controlador, nos mesmos requisitos da análise interna do incidente;
- Resumo do incidente, com a sua localização física e meio de armazenamento;
- Resumo das medidas implementadas até o momento da comunicação para controlar os possíveis danos;
- Possíveis problemas de natureza transfronteiriça;
- Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos;
- Justificativa caso a comunicação não seja feita no prazo sugerido de 2 dias úteis a partir da ciência do incidente.
Além disso, é recomendado que os controladores efetuem a comunicação à ANPD mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. A eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à LGPD.