Em mais um ato que indica que a Autoridade Nacional de Proteção de Dados está se preparando para efetivamente iniciar a aplicação de sanções, no dia 23 de dezembro de 2022, a Coordenação-Geral de Fiscalização publicou no sítio eletrônico da ANPD nova versão de formulário, que passou a valer dia 01 de janeiro de 2023, para que controladores de dados pessoais comuniquem incidentes de segurança para a Autoridade.
A comunicação de incidente de segurança está prevista na Lei Geral de Proteção de Dados (LGPD), e tem como objetivo, permitir que os titulares tomem conhecimento de quaisquer possíveis violações de seus dados pessoais. Visa ainda a demonstração, por parte dos agentes de tratamento, à Autoridade do cumprimento das obrigações legais atinentes ao incidente, bem como a adoção das devidas medidas de segurança no que concerne a tratamento de dados.
Para que possa ser comunicado, o incidente precisa atender a 3 (três) critérios: ocorrência confirmada pelo agente controlador, envolvimento de dados pessoais disciplinados pela LGPD, promoção de riscos ou danos consideráveis aos titulares dos dados afetados.
A nova versão foi desenvolvida para dinamizar e facilitar o preenchimento e a análise das comunicações pela ANPD. Para tanto, foram implementadas algumas medidas a serem observadas pelos Controladores de Dados, das quais destacamos:
- A possibilidade de fornecimento de dados de Encarregado de Proteção de Dados Pessoais, e não mais apenas do Notificante, à Autoridade;
- A ratificação da recomendação de comunicação em até 2 (dois) dias úteis, a serem contados a partir da ciência do ocorrido. Havendo injustificada demora na comunicação, de modo a expor os titulares dos danos a ricos ou danos relevantes, os agentes poderão estar sujeitos a sanções administrativas da LGPD;
- A delimitação de requisitos a serem cumpridos no momento da comunicação de incidente aos titulares de dados. Caso não observados, a ANPD poderá ainda exigir retificação;
- A necessidade de indicação aos titulares de possíveis consequências advindas do incidente;
- A obrigatória classificação do incidente, abordando qual tipo se trata;
- A descrição, antes e depois de eventual incidente, das medidas técnicas e administrativas implementadas pelo Controlador para a proteção de Dados Pessoais.
Nesse sentido, resta claro que a nova versão do formulário busca otimizar as respostas fornecidas, de modo a estruturar uma base de dados que transmita confiabilidade acerca de informações sobre incidentes de segurança. Para tanto, a Autoridade incluiu orientações no próprio formulário para orientar o processo de comunicação de incidentes.
A utilização do formulário deverá se dar pelos Controladores de Dados Pessoais e o seu envio deverá ocorrer por meio do Peticionamento Eletrônico do Sistema Único de Processo Eletrônico em Rede (SUPER.BR).
Os demais envolvidos que desejarem reportar um incidente de segurança, no âmbito da proteção de dados pessoais, deverão utilizar o canal de denúncia de descumprimento da LGPD no sítio eletrônico da ANPD.