Um novo projeto de lei complementar (PL 1.876/23) torna obrigatória a divulgação na mídia e em páginas e perfis na internet de empresas que tratam dados, no caso de quaisquer incidentes de segurança com potencial de acarretar riscos aos titulares dos dados, mediante a adição do art. 54-A.
"O projeto também estabelece que o incidente deve ser notificado à ANPD - Autoridade Nacional de Proteção de Dados. Contudo, este tópico já consta do texto da LGPD - Lei Geral de Proteção de Dados Pessoais,no art. 48”, explica o advogado sócio-head da Lee, Brock, Camargo Advogados e especialista em Direito Digital, Paulo Vinícius de Carvalho Soares.
Para o advogado, o projeto aumenta a transparência que deve cercar os incidentes de segurança, como por exemplo no caso de vazamento de informações, por dois motivos: para que agentes de tratamentos de dados tomem ciência de incidentes semelhantes e ampliem seus conhecimentos para evitar novos riscos e propiciar ao titular de dados a garantia de seus direitos e liberdades, evitando algum tipo de ilícito com seus dados.
Os incidentes de segurança na LGPD, segundo Soares, ocorrem quando há qualquer ato de tratamento de dados pessoais não autorizado ou desprovido de base legal como qualquer evento adverso, tais como: perda, violação, fraudes, acesso não autorizado etc. que leve à violação na segurança de dados pessoais. Um caso muito comum é a tentativa de venda de dados, por exemplo. A LGPD (art. 48, § 1º) específica como sendo obrigatório que o DPO - Data Protection Officer/Encarregado comunique à ANPD, em prazo razoável, e ao titular de dados sobre o incidente segurança, no caso de risco ou dano relevante, além de especificar as medidas tomadas de análise e mitigação dos riscos.
O PL 1.876/23 tramitará em caráter conclusivo pelas CCJ - Comissões de Comunicação, Constituição e Justiça e de Cidadania da Câmara dos Deputados, sendo dispensada a votação em plenário para ser aprovada. Isso só ocorre no caso de haver recurso assinado por 52 parlamentares.