Comunicação de Incidentes de Segurança: Um Dever na LGPD

Comunicação de Incidentes de Segurança é Um Dever na LGPD e estabelece que os agentes de tratamento de dados pessoais, tanto controladores quanto operadores, devem adotar medidas para prevenir danos aos titulares decorrentes de suas atividades. Um importante aspecto para mitigar os efeitos de um incidente de segurança é a comunicação desse ocorrido aos titulares dos dados pessoais violados. Essa comunicação permite que os titulares tomem conhecimento do incidente e adotem precauções para mitigar os riscos aos quais foram expostos.

A Obrigação de Comunicar Incidentes

No artigo 48, a LGPD impõe aos controladores o dever de comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares a ocorrência de incidentes que possam causar riscos ou danos relevantes. Esse processo de comunicação é conhecido como Comunicação de Incidente de Segurança (CIS). A Coordenação-Geral de Fiscalização (CGF) da ANPD é responsável por receber as comunicações de incidentes de segurança, tratá-las adequadamente e fiscalizar o cumprimento das obrigações, podendo aplicar sanções administrativas quando necessário.

Procedimento para Comunicação de Incidente à ANPD

Para comunicar um incidente de segurança à ANPD, o responsável pela proteção de dados ou um representante legal do controlador deve preencher o formulário disponibilizado e protocolá-lo eletronicamente por meio do Peticionamento Eletrônico do SUPER.BR. Durante o protocolo, é necessário selecionar o tipo de processo adequado e anexar o formulário preenchido, preferencialmente em formato PDF, além de documentos complementares e a documentação que comprove a legitimidade para representar o controlador junto à ANPD.

A assinatura eletrônica pode ser feita por meio do Portal de Assinatura Eletrônica da plataforma GOV.BR, caso o usuário possua o nível de confiabilidade “prata” ou “ouro”. Também é possível utilizar outros meios previstos pela Lei Nº 14.063, de 23 de Setembro de 2020.

Após o protocolo, o sistema gerará automaticamente um Recibo Eletrônico de Protocolo, que será incluído no processo.

Dúvidas e Informações Adicionais sobre Comunicação de Incidentes

Caso haja dificuldades no cadastro no SUPER.BR, é recomendado entrar em contato com a Coordenação de Documentação da Secretaria Geral da Presidência da República por meio do e-mail codoc.protocolocentral@presidencia.gov.br. Para dúvidas sobre o procedimento de comunicação de incidentes de segurança, é possível contatar a CGF por meio do e-mail fiscalizacao@anpd.gov.br.

Comunicação aos Titulares de Dados Violados

É importante ressaltar que o cumprimento do artigo 48 da LGPD não se limita à comunicação do incidente apenas à ANPD. Caso haja risco ou dano relevante, o controlador tem a obrigação de comunicar o ocorrido aos titulares dos dados pessoais violados.

O que é um Incidente de Segurança com Dados Pessoais?

Um incidente de segurança com dados pessoais é qualquer evento que possa comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados pessoais tratados pelo controlador ou pelo operador.

Quais Incidentes Precisam ser Comunicados?

Devem ser comunicados à ANPD e aos titulares os incidentes que possam acarretar riscos ou danos relevantes aos titulares dos dados pessoais. A definição do que é considerado relevante deve levar em conta critérios como a sensibilidade dos dados envolvidos, a quantidade de pessoas afetadas, as consequências para os titulares, entre outros.

Avaliação de Risco de um Incidente com Dados Pessoais

Ao avaliar um incidente de segurança com dados pessoais, é fundamental considerar fatores como a natureza dos dados envolvidos, a possibilidade de identificação dos titulares, as consequências negativas para os mesmos, a existência de medidas de proteção e a probabilidade de ocorrerem danos.

Prazo para Comunicação de Incidentes

A LGPD estabelece que os incidentes de segurança devem ser comunicados aos titulares e à ANPD em tempo razoável, conforme definido pela autoridade reguladora. O prazo específico ainda não foi estabelecido pela ANPD.

Ausência de Informações Disponíveis no Prazo Recomendado

Caso as informações sobre o incidente não estejam disponíveis no prazo recomendado pela ANPD, é importante comunicar o fato assim mesmo, indicando as informações que ainda estão sendo coletadas e fornecendo uma estimativa de quando estarão disponíveis.

Papel do Operador no Processo de Comunicação

O operador de dados pessoais tem um papel relevante no processo de comunicação de incidentes de segurança, pois é responsável por notificar imediatamente o controlador sobre qualquer incidente de segurança ocorrido durante o tratamento dos dados.

Como fazer a Comunicação de Incidentes aos Titulares

A comunicação aos titulares deve ser realizada de forma clara, objetiva e em linguagem acessível. Devem ser fornecidas informações sobre o incidente, as possíveis consequências, as medidas adotadas para mitigar os riscos e as orientações para que os titulares protejam seus dados.

Conclusão

A comunicação de incidentes de segurança é um dever estabelecido pela LGPD, com o objetivo de proteger os titulares dos dados pessoais. A correta comunicação às autoridades e aos titulares permite que medidas sejam tomadas para minimizar os riscos e garantir a segurança das informações. Ao cumprir essa obrigação, as organizações demonstram seu compromisso com a proteção de dados e com a transparência em relação aos incidentes ocorridos.

Acesse o formulário neste link: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca