Sempre que, na ocorrência de um incidente de dados pessoais (isso envolve também acesso indevido de dados pessoais por terceiros não autorizados ou de ex colaboradores, por exemplo) houver risco ou dano relevante ao titular de dados, a empresa, como Controladora, é OBRIGADA a comunicar tanto a @anpdgovbr quanto o titular de dados.
Dessa forma, a minuta da Resolução tem o objetivo de regulamentar de que forma essa comunicação deverá ocorrer e quais os critérios.
📌Pontos importantes:
– A ANPD estipulou o prazo de 3 dias úteis contatos do conhecimento do incidente de segurança. ⏳
– O incidente será considerado como apto a acarretar risco ou dano relevante ao titular quando: tiver potencial de afetar significativamente interesses e direitos fundamentais e envolver: dados sensíveis; dados de crianças, adolescentes ou idosos; dados financeiros; dados de autenticação em sistemas; ou, dados em larga escala. (Identificou a sua empresa aqui? 👀)
– Obrigação do Controlador, de manter o registro de incidentes de segurança com dados pessoais pelo prazo mínimo de 5 (cinco) anos, independente da comunicação ou não à ANPD ou aos titulares. Ou seja, todo e qualquer incidente de segurança envolvendo dados pessoais deve ser registrado pela empresa.
– As informações que deverão constar na comunicação de incidentes, são muito mais detalhadas do que as incialmente exigidas no §1º do art. 48 da Lei Geral de Proteção de Dados. Isso demonstra, mais uma vez, a importante da empresa ter a gestão dos dados pessoais que coleta e conhecimento de todos o seu ciclo de vida – desde a origem do dado, forma de coleta, medidas de segurança adotadas, controle de acesso, compartilhamento com terceiros, onde são armazenados, quais os sistemas ou ativos utilizados e etc. 🔒
A consulta ficará disponível até o dia 31 de maio para contribuições, e depois, após análises e eventuais alterações, será publicado o texto oficial.
