PORTAL DE TELECOM, INTERNET E TIC

Segurança

ANPD inicia tomada de subsídios sobre notificação de incidentes

A Autoridade também disponibilizou orientações para empresas em caso de incidentes de segurança com dados pessoais, bem como o formulário para notificação dessas ocorrências

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou nesta semana um processo para tomada de subsídios sobre a notificação de incidentes de segurança de dados pessoais. Juntamente, a Autoridade disponibilizou uma cartilha contendo orientações a respeito da comunicação dessas ocorrências e o formulário de comunicação de incidentes. A iniciativa consta na Agenda Regulatória de 2021-2022 da ANPD.

As contribuições para a tomada de subsídio deverão ser enviadas no formato PDF para o e-mail com o título Tomada de Subsídios 2/2021. O processo estará aberto até o dia 24 de março deste ano.

A ANPD ainda não definiu o prazo de comunicação de incidentes por regulamento. Por enquanto, apenas recomenda que isso seja feito dentro de dois dias úteis desde a descoberta do incidente.

De acordo com a cartilha de orientação, a primeira medida a se tomar em caso de incidentes de dados é  avaliação interna da ocorrência com base no formulário de avaliação constante da ANPD. Em seguida, é preciso comunicar o acontecido ao Encarregado, posto que faz a comunicação entre a organização e o poder público. Caso a empresa seja a operadora dos dados, ela deve comunicar ao controlador. Ainda, se houver danos consideráveis aos titulares dos dados, tanto os titulares quanto a ANPD deverão ser informados.

Nesta última situação, a entidade deverá identificar o responsável e o encarregado pelo tratamento dos dados para a ANPD. A organização precisará informar se a notificação é completa ou parcial e, se for parcial, deverá esclarecer se a comunicação é complementar ou inicial. No caso de comunicação inicial, será preciso dizer também se a entidade fornecerá mais informações depois e quais meios ela utilizará para obtê-las.

Além disso, na comunicação do incidente deverá constar:

  • Data e hora da detecção;
  • Data e hora do incidente e sua duração;
  • Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda; roubo, cópia, vazamento, dentre outros;
  • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados; pessoais, categoria e quantidade de dados e de titulares afetados;
  • Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
  • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
  • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
  •  Resumo das medidas implementadas até o momento para controlar os possíveis danos;
  • Possíveis problemas de natureza transfronteiriça;
  • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

(Com assessoria de imprensa)

TEMAS RELACIONADOS

ARTIGOS SUGERIDOS