Por Flávia Lubieska Kischelewski

A Autoridade Nacional de Proteção de Dados (ANPD), divulgou recentemente, em seu site, orientações para identificação de um incidente de segurança com dados pessoais, bem como orientações sobre como proceder diante de tais situações (https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca#). O prazo recomendado para a comunicação é de 2 dias úteis contados da ciência do incidente (mesmo que ainda não esteja confirmado).

Confira abaixo mais informações sobre esse assunto:

• Quem está obrigado a comunicar? De acordo com o art. 48, da Lei Geral de Proteção de Dados Pessoais (LGPD), é obrigatório ao controlador de dados a comunicação à ANPD e ao titular quando houver “a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. Nesse caso, sendo o agente um operador, sugere-se que comunique, primeiramente, ao controlador de dados sobre o incidente.

• O que é incidente de segurança com dados pessoais? No caso em tela, a ANPD define como “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.

• Quando comunicar? Em toda e qualquer situação em que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados. Entende-se que há mais chances de risco ou dano relevante sempre que o incidente envolver: (i) dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes; (ii) tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Cabe ponderar também sobre o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

• E se eu ainda não tenho certeza ou não tenho todas as informações relativas ao incidente? O incidente com dados pessoais deverá ser comunicado mesmo que ainda esteja sob suspeita. Assim, mesmo que o caso esteja sob apuração, uma comunicação preliminar deverá ser enviada, sob pena de haver, eventualmente, uma violação à LGPD. Se o incidente de segurança é de outra natureza, isto é, não abrangendo dados pessoais, a ANPD não precisa ser contatada.

• O que deve ser comunicado? O conteúdo da comunicação deve abranger, minimamente, o que está previsto no §1º do art. 48, da LGPD e que está refletido no formulário disponível pela ANPD (clique aqui), como: identificação e informações de contato do responsável pelo tratamento dos dados; data e hora da detecção, descrição dos dados pessoais afetados; resumo do incidente; possíveis consequências etc.

• Qual o prazo para comunicação? Embora o tema ainda dependa de maior regulamentação pela ANPD, a Autoridade recomenda, a título indicativo, o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

• Como comunicar à ANPD? Deve-se preencher o formulário próprio e enviá-lo por meio de Peticionamento Eletrônico – Usuário Externo (https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.)

• Além de comunicar a ANPD, o que deve ser feito? Acionar plano interno de contingenciamento para mitigação do evento e preparar relatório de avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (art. 6º, X, da LGPD).