Segurança de dados pessoais e LGPD: o que fazer caso ocorra um incidente na sua empresa?

No último da 22 de fevereiro, a Autoridade Nacional de Proteção de Dados (ANPD), abriu prazo, até o dia 24 de março de 2021, para contribuições e tomada de subsídios sobre a notificação de incidentes de segurança nos termos do Ar. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) é o órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) em todo o país.

A intenção da ANPD é a abertura de diálogo com os atores interessados na matéria a ser regulamentada, para contribuir e melhorar a qualidade da análise que orientará a decisão final regulatória.

Enquanto a regulamentação não é realizada, a ANPD já disponibilizou um formulário de comunicação de incidente de segurança de dados pessoais, além de um documento que contém orientações sobre o que fazer em caso de um incidente, que pode ser acessado aqui.

Confira abaixo um resumo das instruções da ANPD sobre o tema:

1. Segundo a LGPD, o que é um incidente de segurança de dados pessoais?

É qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, por exemplo o acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração ou vazamento de dados pessoais, ou, ainda, qualquer forma de tratamento de dados pessoais que seja inadequada e ilícita e que possa ocasionar risco para os direitos e liberdades do titular de dados pessoais.

É importante esclarecer que a LGPD não determina quais medidas técnicas de segurança devem ser implementadas pela empresa para evitar incidentes, conferindo liberdade aos agentes de tratamento para deliberar sobre quais medidas devem ser adotadas, conforme suas necessidades.

2. O que fazer em caso de ocorrência de incidente de segurança de dados pessoais?

A ANPD oferece um passo a passo bem objetivo, confira:

I. Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis;

II. Comunicar ao encarregado (Art. 5º, VIII da LGPD);

III. Comunicar ao controlador, se você for o operador, nos termos da LGPD;

IV. Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e

V. Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

É aconselhável que a empresa possua o auxílio de um profissional especializado para prestar as orientações necessárias e elaborar, juntamente com a equipe interna da empresa, a documentação relativa à prestação de contas, de modo a comprovar a boa-fé e as diligências adotas pela empresa.

A colaboração e a demonstração de boa-fé da empresa são essenciais para reduzir o impacto das penalidades que eventualmente sejam aplicadas, por exemplo a redução de multa administrativa ou a conversão da multa em advertência.

3. Devo comunicar a ANPD mesmo em caso de dúvida sobre a relevância dos riscos?

A ANPD recomenda posição de cautela por parte dos agentes de tratamento e que a comunicação seja feita mesmo em caso de dúvida sobre a relevância dos riscos e danos envolvidos no incidente. E ressalta, ainda, que a subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à LGPD.

A comunicação deve ser feita de forma clara e concisa, através do preenchimento do formulário de comunicação de incidentes de segurança de dados pessoais, disponibilizado aqui.

O formulário deve ser enviado por meio de Peticionamento Eletrônico – Usuário Externo, disponível neste link.

4. Quais incidentes devem ser comunicados à ANPD e qual o prazo para comunicação?

A ANPD recomenda que a comunicação seja realizada sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados pelo incidente.

Os critérios para definição da relevância do risco ou do dano ainda não foram definidos, porém, ela já estabelece que a probabilidade de risco ou dano ao titular será maior sempre que o incidente envolver:

i. Dados Sensíveis (todo aquele com conteúdo sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”);

ii. Dados de indivíduos em situação de vulnerabilidade, como crianças e adolescentes;

iii. Dados que possam ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;

Ademais, a ANPD recomenda que seja levado em consideração o volume de dados envolvido no incidente e a quantidade de indivíduos afetados, além da boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

Enquanto pendente a regulamentação, a ANPD recomenda que, havendo risco relevante no incidente, a comunicação seja encaminhada no prazo de até 2 dias úteis, contados da data do conhecimento do incidente.

Um processo prévio de adequação da empresa à LGPD facilita o cumprimento de todas as orientações acima expostas e reduz os riscos de ocorrência de incidentes de segurança de dados pessoais. A jornada de adequação envolve uma auditoria em todos os setores da empresa, mapeamento dos processos internos de tratamento de dados pessoais, indicação e implementação de medidas sugestivas de adequação, dentre outras medidas relevantes para o compliance à LGPD.

Ficou com dúvidas? Entra em contato com a gente!