LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-

 


Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança.

Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados.

Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, da concepção do produto ou do serviço, até a sua execução.

O que nos leva a reforçar a importância dos conceitos do Privacy dy Design (incorporação da privacidade e proteção de dados em todos os projetos de um agente, desde a concepção de um produto ou serviço a ser disponibilizado no mercado) e o Privacy by Default (adoção de medidas protetivas de forma padrão, em todos os processos e atividades desenvolvidas pelo agente de tratamento).

E uma gestão de riscos corresponde a adoção das melhores práticas e ações com o propósito de se implementar uma gestão eficiente a mitigar potenciais riscos que venham a ameaçar a segurança dos dados pessoais tratados por um agente.

Os danos ocasionados por um incidente de segurança podem trazer graves prejuízos a uma instituição, não só frente a penalidades administrativas da ANPD, mas também no âmbito judicial, operacional e reputacional.

Dentre as medidas preventivas podemos citar o registro das operações de tratamento de dados, a identificação prévia de funções e designação de um comitê de crise, a homologação prévia de fornecedores, a estruturação interna de respostas, a contratação prévia de seguros e a simulação de incidentes de segurança.

Mas frente a LGPD, caso uma empresa sofra um incidente de segurança, como deve atuar?

O plano de resposta, com fulcro no artigo 48 da Lei Geral de Proteção de Dados[1], determina que o controlador deve comunicar a Autoridade Nacional de Proteção de Dados sobre a ocorrência de um incidente que possa acarretar risco ou dano relevante aos titulares.

A LGPD diz que a comunicação do incidente de segurança deve ser realizada em prazo razoável, sem especificar taxativamente o prazo considerado, todavia a ANPD já publicou sua recomendação que tal situação deve ser informada em até 2 dias úteis da data de conhecimento do incidente.

É imperativo que o controlador antes de comunicar à ANPD faça um minucioso estudo interno sobre os possíveis riscos ou danos a serem sofridos diante do incidente de segurança acometido. Tendo plena dimensão de todos os impactos que este incidente possa vir a causar aos titulares de dados pessoais, tomando assim a melhor decisão.

A lei é clara ao dizer que o controlador é o agente incumbido pela comunicação de um incidente de segurança à ANPD, haja vista que o controlador é o responsável pelas principais decisões referentes ao tratamento de dados pessoais, tendo como dever emitir instruções aos demais operadores envolvidos.

Já o operador, tendo ciência de um incidente de segurança deve de imediato informar ao controlador a ocorrência, para que o evento seja prontamente analisado e mitigado. Todavia, diante de tal situação, caso o controlador, já ciente, não tome as providências necessárias, o incidente de alta gravidade deve ser comunicado pelo próprio operador à ANPD.

Lembrando que a LGPD tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, e todos os agentes devem zelar por esta premissa.

Caso surjam dúvidas sobre as atribuições dos agentes de tratamento de dados pessoais, em 28/05/2021 a ANPD publicou um guia orientativo sobre as principais definições relacionada a este tema[2], no qual já foi também publicado neste blog considerações.

É reforçado este contexto pois a qualificação de cada agente de tratamento de dados é de suma relevância para que sejam atribuídas responsabilidades em relação à reparação de danos decorrentes de atos ilícitos em geral.

Adiante, a rapidez e eficiência são grandes nortes em um plano de resposta a um incidente de segurança, e a ANPD pode aplicar sanções (via processo administrativo) de acordo com as peculiaridades do caso concreto e considerando os seguintes parâmetros e critérios:  a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Noutra frente, é dever do controlador também comunicar aos titulares de dados caso constate a ocorrência de um incidente de segurança grave, superada toda a análise citada anteriormente.

Por fim, é colacionado a seguir a íntegra do Formulário de Comunicação de Incidente de Segurança com Dados Pessoais disponibilizado pela ANPD[3], tendo por intuito divulgar as informações exigidas pelo órgão competente, sua amplitude, bem como, a importância de uma compreensão panorâmica do evento a ser relatado e trabalhado pelo controlador. Vejamos:

 

Formulário de comunicação de incidente de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD)

 

Comunicação

Tipo de comunicação:

Completa.

Parcial.

 

Para comunicação parcial:

Preliminar.

Complementar.

 

Critério para a comunicação:

O incidente de segurança pode acarretar risco ou dano relevante aos titulares.

Não tenho certeza sobre o nível de risco do incidente de segurança.

 

Agente de tratamento

O notificante é:

Controlador.

Operador.

Se operador, informar se já houve comunicação ao controlador: [Resposta]

 

Dados do agente de tratamento:

Número do CPF ou CNPJ: [●]

Nome ou Razão Social: [●]

Natureza da Organização (Pública ou Privada): [Resposta] 

Endereço: [Resposta]

Cidade: [Resposta]

Estado: [Resposta]

CEP: [Resposta]

Telefone: [Resposta]

E-mail: [Resposta]

 

Dados do notificante:

Nome: [Resposta]

E-mail: [Resposta]

Telefone: [Resposta]

 

Dados do encarregado:

Mesmos dados do notificante.

Nome: [Resposta]

E-mail: [Resposta]

Telefone: [Resposta]

 

 

Incidente de segurança

Descreva de forma resumida como o incidente de segurança com dados pessoais ocorreu.

[Resposta]

 

Quando o incidente ocorreu?

[Data e hora]

Não tenho conhecimento. Justifique: [Resposta]

Não tenho certeza. Justifique: [Resposta]

 

Quando a organização teve ciência do incidente de segurança?

[Data e hora]

 

Descreva como a organização teve ciência do incidente de segurança.

[Resposta]

 

Se a comunicação inicial do incidente não foi comunicada no prazo sugerido de 2 dias úteis após ter tomado ciência do incidente, justifique os motivos.

[Resposta]

 

Se o incidente não foi comunicado de forma imediata após a sua ciência, justifique os motivos da demora.

[Resposta]

 

Qual a natureza dos dados afetados?

Origem racial ou étnica.

Convicção religiosa.

Opinião política.

Filiação a sindicato.

Filiação a organização de caráter religioso, filosófico ou político.

Dado referente à saúde.

Dado referente à vida sexual.

Dado genético ou biométrico.

Dado de comprovação de identidade oficial (Por exemplo, nº RG, CPF, CNH).

Dado financeiro.

Nomes de usuário ou senhas de sistemas de informação.

Dado de geolocalização.

Outros: [Resposta]

 

Qual a quantidade de titulares afetados?

[Resposta]

 

Qual a categoria dos titulares afetados?

Funcionários

Prestadores de serviço

Clientes

Consumidores

Usuários

Pacientes de serviço de saúde

Crianças ou adolescentes

Outros: [Resposta]

 

Medidas de segurança utilizadas para a proteção dos dados

Quais medidas de segurança, técnicas e administrativas, foram tomadas para prevenir a ocorrência do incidente de segurança?

[Resposta]

 

Quais medidas de segurança, técnicas e administrativas, foram tomadas após a ciência do incidente de segurança?

[Resposta]

 

Quais medidas de segurança, técnicas e administrativas, foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo do incidente de segurança aos titulares dos dados?

[Resposta]

 

O agente de tratamento realizou relatório de impacto à proteção de dados pessoais?

[Resposta]

 

Riscos relacionados ao incidente de segurança

Quais as prováveis consequências do incidente de segurança para os titulares afetados?

[Resposta]

 

Considerando os titulares afetados, na sua avaliação, o incidente pode trazer consequências transfronteiriças?

[Resposta]

 

Comunicação aos titulares de dados

Os titulares foram comunicados sobre o incidente de segurança com dados pessoais?

Sim

Não

Não sei

Forneça detalhes.

[Resposta]

 

Caso os titulares afetados não tenham sido informados, quais são os motivos que justificam a não comunicação ou o seu retardo?

[Resposta]



Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Ago/2021

Photo by James Harrison on Unsplash


[1] Presidência da República. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 28 de agosto de 2021.

[2] [2] GOVERNO Federal - ANPD. Guia Orientativo para definições dos agentes de tratamento de dados pessoais e o encarregado. Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/outros-documentos-externos/anpd_guia_agentes_de_tratamento.pdf. Acesso em: 28 de agosto de 2021.

[3] GOVERNO Federal - ANPD. Formulário de Comunicação de Segurança com Dados Pessoais. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em: 28 de agosto de 2021.

 


Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Santo, d
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulgação de dados p
Leia na íntegra