segunda-feira, 8 de maio de 2023

ANPD: incidentes de segurança devem ser comunicados em até três dias

 Norma se refere a incidentes de segurança que tem o potencial de afetar os interesses e os direitos dos titulares dos dados

A Autoridade Nacional de Proteção de Dados (ANPD) publicou na última terça-feira (2) uma consulta pública referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. 

Trata-se da exigência prevista na Lei Geral de Proteção de Dados (Lei 13.709/18) pela qual o controlador é obrigado a informar à ANPD e o titular de dados em caso de incidente que possa causar risco ou dano. 

A Autoridade estabelece que em caso de incidentes de segurança o responsável deve comunicar o titular dos dados em até três dias. Confira: 

Incidentes de segurança

De acordo com a ANPD, são considerados incidentes de segurança:

  • Dados sensíveis;
  • Dados de crianças, de adolescentes ou de idosos;
  • Dados financeiros; 
  • Dados de autenticação em sistemas; ou 
  • Dados em larga escala. 

A norma prevê serem considerados incidentes que têm potencial de afetar significativamente interesses e direitos fundamentais dos titulares aqueles que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. A comunicação deve ser feita por formulário eletrônico, que será disponibilizado pela ANPD. 

Além disso, a proposta da resolução indica que serão considerados incidentes “em larga escala” quando eles “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”. 

A comunicação deve ser comunicada à ANPD e aos titulares em três dias úteis contados do conhecimento do incidente de segurança, sempre que ele possa acarretar risco ou dano relevante aos titulares afetados. 

Comunicação de incidente de segurança

A comunicação para a ANPD deve incluir 13 informações: 

  • A descrição da natureza e da categoria de dados pessoais afetados; 
  • O número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos; 
  • As medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente; 
  • Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares; 
  • Os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso; 
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
  • A data e a hora do conhecimento do incidente de segurança; 
  • Os dados do encarregado, quando aplicável, ou do comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD; 
  • Os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte; 
  • As informações sobre o operador, quando aplicável; 
  • A declaração de que foi realizada a comunicação aos titulares, nos termos do art. 10 deste Regulamento; 
  • A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e 
  • O total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente. 

Na comunicação ao titular, as informações devem fazer uso de linguagem simples e de fácil entendimento e, se possível, ocorrer de forma direta e individualizada. E devem trazer as seguintes informações: 

  • Descrição da natureza e da categoria de dados pessoais afetados; 
  • Os riscos ou impactos ao titular; 
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis; 
  • A data do conhecimento do incidente de segurança; e 
  • O contato para obtenção de informações e dados do encarregado, quando aplicável. 

A consulta da ANPD vai receber contribuições até 31 de maio, por meio da plataforma Participa Mais Brasil. Haverá uma audiência pública, transmitida pelo YouTube, em data ainda a ser definida. 

                                                             PORTAL CONTABEIS

Nenhum comentário: