Comunicação de incidentes de segurança

Um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

O que fazer em caso de um incidente de segurança com dados pessoais?

• Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Vide formulário de avaliação constante do sítio eletrônico da ANPD;
• Comunicar ao encarregado (Art. 5º, VIII da LGPD);
• Comunicar ao controlador, se você for o operador, nos termos da LGPD;
• Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
• Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

As informações devem ser claras e concisas. Além do que prescreve o § 1º do artigo 48 da LGPD, recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD:

• Identificação e dados de contato de:
• Entidade ou pessoa responsável pelo tratamento.
• Encarregado de dados ou outra pessoa de contato.
• Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
• Informações sobre o incidente de segurança com dados pessoais:
• Data e hora da detecção.
• Data e hora do incidente e sua duração.
• Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
• Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados
• Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.
• Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
• Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
•  Resumo das medidas implementadas até o momento para controlar os possíveis danos.
• Possíveis problemas de natureza transfronteiriça.
• Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Em que situação e o que comunicar ao titular dos dados?

Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.

Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

A LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), conforme será definido pela ANPD. Embora não tenha havido regulamentação nesse sentido, a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização.

Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

Tal interregno foi estabelecido com parâmetro na definição de comunicação já existente no Decreto nº 9936/2019 e em virtude da necessidade de gerenciamento dos incidentes de segurança com dados pessoais por parte da ANPD e das consequências danosas que podem ocorrer em razão do atraso nas ações de contenção ou mitigação.

Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

Preencha o formulário eletrônico disponível no site e envie por meio de Peticionamento Eletrônico - Usuário Externo. Para maiores informações sobre o envio acesse: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.

Fonte: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca