Brasília, 20/5/2021
A Autoridade Nacional de Proteção de Dados (ANPD) atualizou as informações que devem ser repassadas à ANPD na comunicação de incidentes de segurança, bem como orientações sobre o tema.
O art. 48 da Lei Geral de Proteção de Dados Pessoais determina que o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A referida autoridade sugere que, dentro de um prazo de 2 dias úteis, o Controlador dos Dados comunique a ANPD vazamentos, ainda que tenha alguma dúvida sobre a relevância dos riscos e danos envolvidos. Isso porque “eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais”.
Ao comunicar a ANPD, o Controlador deverá informar: (i) data e hora da detecção; (ii) data e hora do incidente e sua duração; (iii) circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros; (iv) descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados; (v) resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento; (vi) possíveis consequências e efeitos negativos sobre os titulares dos dados afetados; (vii) medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD; (viii) resumo das medidas implementadas até o momento para controlar os possíveis danos; (ix) possíveis problemas de natureza transfronteiriça; e (x) outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Tais informações deverão ser disponibilizadas por meio de formulário eletrônico disponível no site da ANPD e devem ser enviadas por meio de Peticionamento Eletrônico – Usuário Externo.
