Informativos
LGPD: ANPD ORIENTA SOBRE COMUNICAÇÃO DE VAZAMENTOS DE DADOS PESSOAIS
17 de março de 2021
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão incumbido de regulamentar e fiscalizar o cumprimento da Lei Geral de Proteção Dados (LGPD), emitiu orientações sobre a comunicação de incidentes de segurança com dados pessoais. Os referidos incidentes se dão quando da ocorrência de evento, confirmado ou sob suspeita, que resulte em violação na segurança de dados pessoais, como exemplo, acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, vazamento ou alteração de dados pessoais.
Dentre as informações publicadas, destacamos a orientação para que, quando constatado o incidente, a empresa siga os seguintes passos: avaliação interna do ocorrido, a fim de aferir a natureza, categoria, quantidade de dados afetados, consequências, etc.; comunicação ao encarregado (DPO); comunicação à empresa controladora, no caso de prestação de serviço como operador; comunicação à ANPD e ao titular dos dados pessoais, no caso de risco ou dano relevante aos titulares; realização de avaliação interna do incidente para elaboração de documento que demonstre a análise de risco do ocorrido e as medidas tomadas pela empresa.
Especificamente em relação à forma da comunicação a ser realizada para a ANPD, o órgão dispôs que deverá trazer informações claras e concisas, com indicação da entidade responsável pelo tratamento de dados, do encarregado de dados (DPO) e se a notificação é completa ou preliminar. Ainda, é necessário constar a data e hora da detecção e da ocorrência do incidente, a duração do incidente, a circunstância em que ocorreu o incidente (exemplo: perda, vazamento, roubo, etc.), a descrição completa dos dados pessoais afetados, as possíveis consequências do incidente para os titulares dos dados afetados, as medidas técnicas e administrativas de segurança utilizadas pela empresa, dentre outras.
Já em relação ao prazo para comunicação do incidente, a ANPD destacou que a Lei Geral de Proteção de Dados não traz um prazo específico, constando na Legislação que a comunicação deve ser realizada em prazo razoável, a ser regulamentado. Entretanto, enquanto pendente a referida regulamentação, o Órgão recomendou que a comunicação seja efetivada em um prazo de 2 dias úteis contados da ciência do incidente por parte da empresa. Neste sentido, a Autoridade disponibilizou o seguinte link para as necessárias comunicações.
Por fim, importante destacar a necessidade de as empresas adequarem seus procedimentos à LGPD, assim como, adotarem medidas técnicas de segurança para diminuir o risco de incidentes com dados pessoais, sendo estes importantes fatores de mitigação das penalidades a serem impostas pela ANPD, as quais começarão a ser aplicadas a partir de agosto do presente ano.
Gil Bornéo R. Tavares – OAB/RS 117.264
TAVARES E PANIZZI SOCIEDADE DE ADVOGADOS – OAB/RS 1774