Norma se refere a incidentes de segurança que tem o potencial de afetar os interesses e os direitos dos titulares dos dados
A Autoridade Nacional de Proteção de Dados (ANPD) publicou na última terça-feira (2) uma consulta pública referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.
Trata-se da exigência prevista na Lei Geral de Proteção de Dados (Lei 13.709/18) pela qual o controlador é obrigado a informar à ANPD e o titular de dados em caso de incidente que possa causar risco ou dano.
A Autoridade estabelece que em caso de incidentes de segurança o responsável deve comunicar o titular dos dados em até três dias. Confira:
Incidentes de segurança
De acordo com a ANPD, são considerados incidentes de segurança:
- Dados sensíveis;
- Dados de crianças, de adolescentes ou de idosos;
- Dados financeiros;
- Dados de autenticação em sistemas; ou
- Dados em larga escala.
A norma prevê serem considerados incidentes que têm potencial de afetar significativamente interesses e direitos fundamentais dos titulares aqueles que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. A comunicação deve ser feita por formulário eletrônico, que será disponibilizado pela ANPD.
Além disso, a proposta da resolução indica que serão considerados incidentes “em larga escala” quando eles “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”.
A comunicação deve ser comunicada à ANPD e aos titulares em três dias úteis contados do conhecimento do incidente de segurança, sempre que ele possa acarretar risco ou dano relevante aos titulares afetados.
Comunicação de incidente de segurança
A comunicação para a ANPD deve incluir 13 informações:
- A descrição da natureza e da categoria de dados pessoais afetados;
- O número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
- As medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;
- Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
- Os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
- A data e a hora do conhecimento do incidente de segurança;
- Os dados do encarregado, quando aplicável, ou do comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;
- Os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;
- As informações sobre o operador, quando aplicável;
- A declaração de que foi realizada a comunicação aos titulares, nos termos do art. 10 deste Regulamento;
- A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
- O total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.
Na comunicação ao titular, as informações devem fazer uso de linguagem simples e de fácil entendimento e, se possível, ocorrer de forma direta e individualizada. E devem trazer as seguintes informações:
- Descrição da natureza e da categoria de dados pessoais afetados;
- Os riscos ou impactos ao titular;
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
- A data do conhecimento do incidente de segurança; e
- O contato para obtenção de informações e dados do encarregado, quando aplicável.
A consulta da ANPD vai receber contribuições até 31 de maio, por meio da plataforma Participa Mais Brasil. Haverá uma audiência pública, transmitida pelo YouTube, em data ainda a ser definida.
PORTAL CONTABEIS