Na última segunda-feira, 22/02/2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou instruções em seu site, dispondo sobre como proceder em casos de incidentes de segurança de dados pessoais e sua avaliação para fins de comunicação à ANPD.
Abaixo, separamos os principais pontos dessa série de orientações.
⠀⠀⠀⠀⠀⠀⠀⠀
1. O que é um incidente de segurança de dados pessoais?
Primeiramente, é importante entender o que é um incidente de segurança de dados pessoais. É qualquer evento, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita (que não observa as disposições da LGPD), os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
⠀⠀⠀⠀⠀⠀⠀⠀
2. O que fazer?
Ocorrendo um incidente, a organização deve:
- Avaliar a natureza, categoria, número de titulares de dados afetados pelo evento e as consequências concretas e prováveis;
- Comunicar o Encarregado (DPO);
- Comunicar o Controlador, caso a empresa for o Operador;
- Comunicar a ANPD e o titular quando o incidente acarretar risco ou dano relevante aos direitos e liberdades individuais dos titulares de dados afetados;
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.
Ainda não há critérios mais objetivos definidos sobre o que seria “dano relevante aos direitos e liberdades”, e isso ainda será objeto de futura regulamentação. Entretanto, alguns pontos devem ser considerados, como por exemplo:
– Dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
– Quando o incidente tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;
– Deve ser considerado o volume de dados envolvidos, o quantitativo de indivíduos afetados, a boa fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente;
– A facilidade de identificação dos titulares por terceiros não autorizados.
Além disso, os Controladores devem adotar posição de cautela. Isso quer dizer que, mesmo que haja dúvida sobre a relevância dos riscos e danos envolvidos, a comunicação deve ser efetuada como medida de prevenção.
⠀⠀⠀⠀⠀⠀⠀⠀
3. O que a empresa deve informar à ANPD?
A ANPD menciona que as informações da comunicação devem ser claras e concisas, e recomenda que contenha:
Identificação e dados de contato de:
(i) Entidade ou pessoa responsável pelo tratamento;
(ii) Encarregado de dados ou outra pessoa de contato;
(iii) Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
Informações sobre o incidente de segurança de dados pessoais:
(i) Data e hora da detecção;
(ii) Data e hora do incidente e sua duração;
(iii) Circunstâncias em que ocorreu a violação de segurança, por exemplo, perda, roubo, cópia, vazamento, dentre outros;
(iv) Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
(v) Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
(vi) Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
(vii) Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador, de acordo com a LGPD;
(viii) Resumo das medidas implementadas até o momento para controlar os possíveis danos;
(ix) Possíveis problemas de natureza transfronteiriça.
⠀⠀⠀⠀⠀⠀⠀⠀
4. Qual é o prazo para comunicar um incidente de segurança da informação para a ANPD?
A LGPD, em seu texto, menciona que a comunicação deve ser feita em um prazo razoável, que será definido pela ANPD. De fato, ainda não houve uma regulamentação formal nesse sentido, porém a recomendação da ANPD foi de que a comunicação deve ser feita com maior brevidade possível, no prazo máximo de 2 (dois) dias úteis contados da data do conhecimento do incidente.
Sem dúvidas, o prazo de dois dias úteis para averiguar todo o ocorrido e relatar todas as informações acima solicitadas é bastante curto. Porém, sem um plano/procedimento de resposta pré-alinhado, sem o mapeamento dos dados pessoais da empresa e sem um Sistema de Gerenciamento de Proteção de Dados implementado, fica ainda mais difícil.
