Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
A ANPD (Autoridade Nacional de Proteção de Dados) disponibilizou ontem, dia 22 de fevereiro, em seu site, formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como orientações sobre o que fazer em caso de um incidente. Esses documentos servem como guia para os agentes de tratamento enquanto não realizada a necessária regulamentação.
O que é incidente de segurança?
Segundo a interpretação da ANPD, é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação da segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita, que possa ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
De acordo com o artigo 47 da LGPD (Lei Geral de Proteção de Dados Pessoais), os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
O que fazer em caso de incidente de segurança de dados pessoais?
De acordo com a ANPD, as seguintes ações são necessárias:
1) Avaliar internamente o incidente – aspectos como natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade de dados afetados, consequências concretas e prováveis;
2) Comunicar ao Encarregado de Proteção de Dados Pessoais (Art. 5º, VIII da LGPD);
3) Comunicar ao controlador, se você for o operador;
4) Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
5) Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
O que comunicar à Autoridade Nacional de Proteção de Dados?
A ANPD recomenda que os controladores sejam cautelosos, realizando a comunicação mesmo nos casos de dúvida sobre a relevância dos riscos e danos envolvidos. Eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação.
As informações devem ser claras e concisas. Além do previsto no § 1º do artigo 48 da LGPD, a ANPD recomenda que a comunicação contenha as seguintes informações:
1. Identificação e dados de contato de entidade ou pessoa responsável pelo tratamento; Encarregado de Proteção de Dados Pessoais; ou outra pessoa de contato;
2. Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de comunicação preliminar ou de comunicação complementar;
3. Informações sobre o incidente de segurança de dados pessoais:
– Data e hora da detecção;
– Data e hora do incidente e sua duração;
– Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, entre outros;
– Descrição dos dados pessoais e das informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
– Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
– Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
– Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador;
– Resumo das medidas implementadas até o momento para controlar os possíveis danos;
– Possíveis problemas de natureza transfronteiriça;
– Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser dadas posteriormente. No momento da comunicação preliminar, deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.
Em que situação e o que comunicar ao titular dos dados?
1. Sempre que o incidente de segurança possa acarretar risco ou dano relevante aos titulares afetados. O controlador deverá avaliar internamente a relevância do risco ou dano do incidente para determinar se deverá comunicar à ANPD e ao titular;
2. Critérios mais objetivos serão objeto de futura regulamentação e não poderão ser aqui exigidos sob pena de se inovar na LGPD;
3. De toda forma, a ANPD entende ser possível extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver:
– Dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
– Tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;
– Da mesma forma, a ANPD entende que é preciso considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
Tomada de subsídios
A tomada de subsídios sobre a notificação de incidentes de segurança, nos termos do artigo 48 da LGPD, deve ser enviada até o dia 24 de março de 2021 e envolve, entre outras, as seguintes questões:
– limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daqueles cuja ameaça, se houver, pode ser desconsiderada;
– quais informações devem constar na comunicação tanto ao titular de dados, que lhe sejam úteis para salvaguarda de seus direitos, quanto à ANPD para avaliar o caso;
– quais as possíveis classificações de risco do incidente que podem ser adotadas pela ANPD, bem como os critérios para que essa classificação seja feita e as eventuais exceções em relação à obrigatoriedade de informar tanto os titulares quanto a Autoridade; e
– qual o prazo razoável para que as empresas informem tanto a ANPD quanto os titulares de dados pessoais sobre os vazamentos de dados.
