A Autoridade Nacional de Proteção de Dados (ANPD) quer urgência para a comunicação de incidentes com dados pessoais. Desde a primeira semana de maio, a autarquia abriu consulta pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. A comunicação de incidente com dados pessoais está expressa na Lei Geral de Proteção de Dados Pessoais (LGPD). A consulta pública poderá ser feita até 31 de maio.
A minuta da resolução se refere aos incidentes que podem ocasionar riscos ou danos relevantes aos titulares de dados pessoais nos termos do artigo 48 da LGPD. A meta da autarquia é aprovar prazo de até três dias úteis para a comunicação dos incidentes.
De acordo com o expresso na lei, um incidente de segurança pode ser considerado relevante quando tiver potencial para afetar interesses e direitos dos titulares envolvendo pelo menos um dos seguintes critérios: a) dados sensíveis; b) dados de crianças, de adolescentes ou de idosos; c) dados financeiros; d) dados de autenticação em sistemas; ou e) dados em larga escala.
O objetivo da minuta de resolução, segundo a ANPD, é regulamentar os prazos para a comunicação dos incidentes, que deve ocorrer por parte do controlador. A autarquia deixa claro que a comunicação de incidente de segurança é um procedimento exclusivo dos controladores de dados pessoais. A notificação da ocorrência de um incidente com dados pessoais deve ser feita pelo canal de denúncia da ANPD.
No caso de registro de incidentes, há uma lista de informações que não podem deixar de serem comunicadas. Esse conjunto de dados inclui: data de conhecimento, descrição geral, natureza e categoria dos dados afetados, número de titulares afetados, avaliação de risco sobre os possíveis danos aos titulares, medidas de mitigação e correção dos efeitos, além de informações sobre a comunicação.
A Lei Geral de Proteção de Dados (LGPD) também determina que os agentes de tratamento de dados pessoais (controladores e operadores) devam adotar medidas para prevenir a ocorrência de danos aos titulares em virtude de suas atividades.
Em caso de incidentes de segurança, para mitigar danos, a comunicação da ocorrência aos titulares dos dados pessoais violados é imprescindível. Esse procedimento, expresso na LGPD, é fundamental para que os donos dos dados envolvidos tenham total ciência do fato e possam adotar medidas para reduzir riscos.
Clique aqui para ter acesso à consulta pública e confira a minuta de resolução clicando aqui.