A Lei de Proteção de Dados (LGPD) traz uma série de disposições que devem ser observadas por qualquer tipo de empresa que realize tratamento de dados pessoais. Dentre as suas obrigações, está a comunicação de incidentes de segurança.
A comunicação de incidentes de segurança de dados deve ser feita à Autoridade Nacional de Proteção de Dados (ANPD), mas você sabe como fazer e o que exatamente deve ser informado? Continue lendo nosso artigo que te explicaremos tudo que você precisa saber.
Lei de Proteção de Dados: o que é incidente de segurança?
De acordo com a Lei de Proteção de Dados, incidente de segurança com dados pessoais é qualquer evento que implique em violação na segurança dos dados, através de acessos não autorizados, acidentais ou ilícitos.
Leia também: Adequação à Lei Geral de Proteção de Dados (LGPD)
É importante que, para configurar o incidente, os dados sejam afetados de alguma maneira, colocando em risco os direitos e liberdades de seus titulares, como:
- Perda;
- Alteração;
- Vazamento; ou
- Tratamento inadequado ou ilícito.
Se houver um incidente, o que fazer?
O primeiro passo é a avaliação interna do incidente, onde você deve considerar alguns fatores:
- Natureza dos dados afetados – por exemplo: referente à saúde, opinião política, filiações, convicção religiosa, de comprovação de identidade oficial (RG, CPF, CNH…), financeiro…
- Categoria dos dados afetados;
- Quantidade estimada de titulares e de dados afetados;
- Categoria e natureza dos titulares – clientes, consumidores, usuários, funcionários…
- Consequências – tanto as concretas quanto as possíveis.
Essa avaliação pode ser feita pelo próprio formulário disponibilizado pela ANPD – Autoridade Nacional de Proteção de Dados, que você pode acessar clicando aqui.
Depois de feita a avaliação, os próximos passos são as comunicações.
Lei de Proteção de Dados: quem deve ser comunicado do incidente?
Em primeiro lugar, o Encarregado pelo Tratamento de Dados (DPO) da Empresa, que é a pessoa indicada pelo Controlador para exercer a comunicação entre Operador, os titulares dos dados e a ANPD, deve ser comunicado.
Após, o Controlador, no caso de você ser o Operador, que deverá informar à ANPD, bem como os titulares dos dados, sobre o incidente.
Por fim, o formulário preenchido deve ser enviado através do Peticionamento Eletrônico, com cadastro de Usuário Externo.
Qual é o prazo para comunicação de acordo com a Lei de Proteção de Dados?
A Lei de Proteção de Dados não estabeleceu um prazo, somente destaca que deve ser feita em “prazo razoável”. Uma média que vem sendo utilizada é de dois dias úteis, a partir do momento em que há conhecimento do incidente de segurança.
Portanto, o ideal é que essa comunicação seja feita o quanto antes e ainda que haja dúvidas acerca da extensão dos danos e dos riscos.
O que deve constar?
O próprio formulário de Comunicação de Incidente de Segurança, acima citado, pode servir como seu guia, mas veja o que deve constar na comunicação, de acordo com a Lei de Proteção de Dados.
Sobre a empresa:
- Dados de contato e identificação do responsável pelo tratamento – pessoa ou entidade;
- Dados de contato e identificação do encarregado ou de outra pessoa que possa ser contatada;
- Informar se a comunicação é parcial – casos em que se complementa uma comunicação anterior ou quando as informações ainda são preliminares – ou completa.
Sobre o incidente:
- Data e hora do ocorrido e quanto tempo durou;
- Data e hora da ciência do incidente;
- Circunstâncias da violação de segurança, como perda, vazamento ou cópia;
- Relato dos dados e informações – natureza, conteúdo, categoria e quantidade de dados e titulares afetados;
- Indicação da localização física e meio de armazenamento dos dados;
- Consequências e efeitos negativos estimados.
Sobre a sua Política de Segurança:
Lembramos que é dever dos agentes de tratamento elaborar uma Política de Segurança efetiva de proteção dos dados tratados, portanto a Lei de Proteção de Dados também exige que o Controlador indique:
- Quais são as medidas de segurança, técnicas e administrativas, preventivas tomadas;
- Resumo das medidas implementadas para controle e redução de possíveis danos;
- Os possíveis problemas de natureza transfronteiriça; e
- Demais informações úteis.
No nosso blog, já explicamos como criar uma Política de Segurança da Informação e o que fazer para evitar vazamento de informações.
Por fim, caso a sua empresa tenha sido vítima de um ataque aos dados tratados sob sua responsabilidade, busque o quanto antes um advogado especializado em Proteção de Dados para te auxiliar nesse processo.
O mesmo pode ser feito por quem busca aumentar a segurança de sua empresa, para evitar futuros ataques e incidentes de segurança.
O Escritório de Advocacia Bortolozo oferece serviços jurídicos em direito digital e proteção de dados, baseados em um time de especialistas prontos para adequar sua empresa ou startup aos regramentos legais. Entre em contato agora mesmo!