O conceito de Incidente com Dados Pessoais trazido na Lei Geral de Proteção de Dados – LGPD é a materialização de qualquer evento relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, ilícito, acidental ou não, que resulte na destruição, perda, alteração ou vazamento que possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Uma dúvida muito comum em nossos clientes é o que fazer quando ocorrer um Incidente com Dados Pessoais? Como a empresa deve agir?
Para ajudar a esclarecer essa dúvida, apresentamos a seguir algumas informações relevantes sobre comunicação de incidentes de segurança de dados pessoais.
O que fazer em caso de um incidente?
O art. 47 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Alinhado a isso, os Controladores e Operadores de Dados devem:
- Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, consequências concretas e prováveis. Há um formulário específico de avaliação constante do site da Autoridade Nacional de Proteção de Dados;
- Comunicar ao Encarregado de Dados (art. 5º, VIII da LGPD);
- Comunicar ao Controlador, se você for o Operador;
- Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (art. 48 da LGPD); e
- Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (art. 6º, X da LGPD).
O que comunicar à Autoridade Nacional de Proteção de Dados?
Recomenda-se prudência nos processos de comunicação, avaliando-se os riscos, impactos e reflexos do incidente. Isso torna de suma importância o mapeamento dos dados e a análise de criticidade dos riscos.
A existência de um plano formal de resposta a incidente é importante também para direcionar as ações de forma segura e estruturada. As informações devem ser comunicadas de forma clara, objetiva e com detalhamento adequado:
- Informar se a comunicação é preliminar, parcial ou completa (conclusiva).
- Informar o nome do Encarregado de Dados para contato.
- Descrever um breve resumo do incidente.
- Declarar informações sobre o incidente, data, hora da percepção, circunstâncias, classificação (perda, roubo, vazamento, etc.).
- Descrever os dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados.
- Informar possíveis consequências e reflexos sobre os titulares dos dados afetados.
- Relatar medidas de segurança, técnicas e administrativas preventivas e de mitigação de riscos existentes.
- Resumir as medidas implementadas até o momento para controlar e conter os possíveis danos.
- Apresentar outras informações aos titulares para proteger seus dados ou prevenir possíveis danos.
No momento da comunicação preliminar deverá ser informado à ANPD que serão fornecidas mais informações posteriormente.
Em que situação devemos realizar um comunicado ao titular dos dados?
Sempre que for julgado que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados, sendo que outros critérios deverão ainda ser regulados pela ANPD.
Atenção especial deverá ser dada ao incidente que envolver dados sensíveis, titulares com vulnerabilidade, menores de idade ou que possam causar danos financeiros ou de caráter moral, como por exemplo: discriminação, violação do direito à imagem, reputação, roubo de identidade etc.
Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados e para o mercado?
A LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), sem citar métricas específicas.
A administração deve entender que, embora não tenha havido ainda regulamentação nesse sentido, a realização da comunicação com brevidade demonstrará transparência, responsabilidade e boa-fé, além disso, poderá ser considerada como atenuante em eventual fiscalização e reparação.
Entendemos como um prazo aceitável, que após a ciência do incidente e havendo risco relevante, a ANPD seja comunicada até o prazo de 2 dias úteis.
Importante observar que o PRI – Plano de Resposta a Incidente ou gerenciamento de risco deve ser acionado e mantido até a contenção do incidente e retomada da normalidade.
Toda a metodologia de adequação oferecida pela PP&C a nossos clientes, baseia-se nas definições e regulamentações da LGPD e da ANPD, sendo que além de considerar o mapeamento dos dados e a avaliação da criticidade dos riscos, orienta sobre a elaboração de um plano de comunicação e resposta de incidente adequado.
Fontes:
LGPD – Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD)
ANPD – Autoridade Nacional de Proteção de Dados
PP&C – Metodologia de adequação da PP&C Pachikoski, Pachikoski & Carvalho Auditores e Consultores
Escrito por Claudio Trindade Matos, Gerente de Advisory Services da PP&C Auditores Independentes (ct.matos@ppc.com.br).