ANPD inicia tomada de subsídios sobre notificação de incidentes


A Autoridade Nacional de Proteção de Dados (ANPD) iniciou nesta semana um processo para tomada de subsídios sobre a notificação de incidentes de segurança de dados pessoais. Juntamente, a Autoridade disponibilizou uma cartilha contendo orientações a respeito da comunicação dessas ocorrências e o formulário de comunicação de incidentes. A iniciativa consta na Agenda Regulatória de 2021-2022 da ANPD.

PUBLICIDADE

As contribuições para a tomada de subsídio deverão ser enviadas no formato PDF para o e-mail com o título Tomada de Subsídios 2/2021. O processo estará aberto até o dia 24 de março deste ano.

A ANPD ainda não definiu o prazo de comunicação de incidentes por regulamento. Por enquanto, apenas recomenda que isso seja feito dentro de dois dias úteis desde a descoberta do incidente.

De acordo com a cartilha de orientação, a primeira medida a se tomar em caso de incidentes de dados é  avaliação interna da ocorrência com base no formulário de avaliação constante da ANPD. Em seguida, é preciso comunicar o acontecido ao Encarregado, posto que faz a comunicação entre a organização e o poder público. Caso a empresa seja a operadora dos dados, ela deve comunicar ao controlador. Ainda, se houver danos consideráveis aos titulares dos dados, tanto os titulares quanto a ANPD deverão ser informados.

Nesta última situação, a entidade deverá identificar o responsável e o encarregado pelo tratamento dos dados para a ANPD. A organização precisará informar se a notificação é completa ou parcial e, se for parcial, deverá esclarecer se a comunicação é complementar ou inicial. No caso de comunicação inicial, será preciso dizer também se a entidade fornecerá mais informações depois e quais meios ela utilizará para obtê-las.

Além disso, na comunicação do incidente deverá constar:

  • Data e hora da detecção;
  • Data e hora do incidente e sua duração;
  • Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda; roubo, cópia, vazamento, dentre outros;
  • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados; pessoais, categoria e quantidade de dados e de titulares afetados;
  • Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
  • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
  • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
  •  Resumo das medidas implementadas até o momento para controlar os possíveis danos;
  • Possíveis problemas de natureza transfronteiriça;
  • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

(Com assessoria de imprensa)

PUBLICIDADE
Anterior Telefônica está em negociações avançadas para seu projeto de Infraco
Próximos Implantação do compartilhamento de rede móvel entre Vivo e TIM avança