ANPD inicia tomada de subsídios sobre notificação de incidentes
A Autoridade Nacional de Proteção de Dados (ANPD) iniciou nesta semana um processo para tomada de subsídios sobre a notificação de incidentes de segurança de dados pessoais. Juntamente, a Autoridade disponibilizou uma cartilha contendo orientações a respeito da comunicação dessas ocorrências e o formulário de comunicação de incidentes. A iniciativa consta na Agenda Regulatória de 2021-2022 da ANPD.
As contribuições para a tomada de subsídio deverão ser enviadas no formato PDF para o e-mail [email protected] com o título Tomada de Subsídios 2/2021. O processo estará aberto até o dia 24 de março deste ano.
A ANPD ainda não definiu o prazo de comunicação de incidentes por regulamento. Por enquanto, apenas recomenda que isso seja feito dentro de dois dias úteis desde a descoberta do incidente.
De acordo com a cartilha de orientação, a primeira medida a se tomar em caso de incidentes de dados é avaliação interna da ocorrência com base no formulário de avaliação constante da ANPD. Em seguida, é preciso comunicar o acontecido ao Encarregado, posto que faz a comunicação entre a organização e o poder público. Caso a empresa seja a operadora dos dados, ela deve comunicar ao controlador. Ainda, se houver danos consideráveis aos titulares dos dados, tanto os titulares quanto a ANPD deverão ser informados.
Nesta última situação, a entidade deverá identificar o responsável e o encarregado pelo tratamento dos dados para a ANPD. A organização precisará informar se a notificação é completa ou parcial e, se for parcial, deverá esclarecer se a comunicação é complementar ou inicial. No caso de comunicação inicial, será preciso dizer também se a entidade fornecerá mais informações depois e quais meios ela utilizará para obtê-las.
Além disso, na comunicação do incidente deverá constar:
- Data e hora da detecção;
- Data e hora do incidente e sua duração;
- Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda; roubo, cópia, vazamento, dentre outros;
- Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados; pessoais, categoria e quantidade de dados e de titulares afetados;
- Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
- Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
- Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
- Resumo das medidas implementadas até o momento para controlar os possíveis danos;
- Possíveis problemas de natureza transfronteiriça;
- Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
(Com assessoria de imprensa)