A Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou em seu website o formulário de comunicação de incidentes de segurança de dados pessoais (link) e orientações sobre o que fazer em caso de um incidente de segurança de dados pessoais.
O documento serve como um guia para os agentes de tratamento enquanto a regulamentação do tema passa por processo de consulta pública, conforme previsto na Agenda Regulatória do biênio 2021-2022 do órgão.
O que os agentes de tratamento devem fazer em caso de incidentes de segurança
Segundo a ANPD, o incidente de segurança é “qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
Ao constatar um incidente de segurança, a ANPD recomenda que o agente de tratamento pratique as seguintes atividades:
- Avaliar internamente a natureza do incidente, categoria e quantidade de titulares de dados afetados, dados pessoais afetados, consequências concretas e prováveis;
- Comunicar ao encarregado pelo tratamento dos dados pessoais;
- Comunicar ao controlador, caso o agente de tratamento seja um operador;
- Comunicar a ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares;
- Documentar o incidente e as medidas tomadas para análise de risco.
Nesta nota, a ANPD indica que a comunicação deve ser feita com a maior brevidade possível, sendo considerado o prazo de 2 (dois) dias contados da data do conhecimento do incidente um prazo razoável para tal comunicação.
Ainda, caso não seja possível fornecer todas as informações sobre o incidente no momento da comunicação, é possível realizar comunicações complementares, com novas informações obtidas ou esclarecimentos para eventuais questionamentos realizados pela ANPD.
As comunicações devem ser realizadas por peticionamento eletrônico disponível no site da Secretaria Geral da Presidência da República.
Informações sobre o processo de consulta pública
A consulta pública sobre a regulamentação da comunicação de incidentes de segurança de dados pessoais segue o quanto previsto na fase 1, item 6, da Agenda Regulatória do biênio 2021-2022.
Segundo a nota técnica publicada na última segunda-feira, dia 22, a ANPD pretende construir “limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daqueles cuja ameaça, se houver, pode ser desconsiderada”.
As contribuições/sugestões podem ser enviadas para o e-mail, com o assunto “Tomada de Subsídios 2/2021”, seguindo o modelo de formulário disponibilizado no site da ANPD. O prazo para o envio das sugestões é até o dia 24 de março de 2021.
Após a coleta das contribuições, a ANPD apresentará a primeira minuta da regulamentação sobre a comunicação de incidentes, que será objeto de consulta e audiência pública.