Órgão também abriu um processo de consulta pública para contribuições e aprimoramentos da regulamentação
BRASÍLIA
22/02/2021 23:55
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta segunda-feira (22/2), uma nota técnica com orientações ao mercado para casos de incidentes de segurança de dados pessoais. Além disso, o órgão abriu um processo de consulta pública para contribuições e aprimoramentos da regulamentação do processo de notificação de vazamento de informações. As sugestões podem ser enviadas para o e-mail consultapublica@anpd.gov.br, com o assunto “Tomada de Subsídios 2/2021”. O prazo para os envios é até o dia 24 de março de 2021.
Segundo o documento, em caso de vazamento de dados pessoais, a empresa ou responsável pelos dados deve avaliar internamente o incidente, e apurar a natureza, categoria e quantidade de titulares de dados afetados. Além disso, na avaliação interna também devem constar as consequências concretas e prováveis do incidente.
Também é necessário comunicar ao encarregado de dados, profissional que atua como canal de comunicação entre o controlador, os titulares dos dados e a ANPD, sobre o incidente.
A ANPD também deve ser comunicada em caso de risco ou dano relevante aos titulares dos dados pessoais, por meio de um formulário disponibilizado na página do órgão.
O órgão pede informações como circunstâncias em que ocorreu a violação de segurança de dados pessoais, ou seja, se foi por meio de perda, roubo, cópia, vazamento, dentre outros.
Ademais, a empresa também precisa relatar possíveis consequências e efeitos negativos sobre os titulares dos dados afetados. As medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD também devem ser indicadas. .
“Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de dois dias úteis, contados da data do conhecimento do incidente”, indica o documento produzido pela ANPD.
O controlador de dados, a quem compete as decisões referentes ao tratamento de dados pessoais, também deve ser avisado sobre o incidente. O titular dos dados deve ser alertado em caso de “risco ou dano relevante”.
Segundo a ANPD, um incidente de dados pessoais pode ser caracterizado como qualquer evento, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na “destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais”.
A iniciativa está na agenda regulatória da ANPD para o biênio 2021-2022. A nota foi publicada em meio a um vazamento de dados de 223 milhões de brasileiros, em janeiro de 2021. O incidente, considerado como um dos maiores da história, tem a Serasa Experian, empresa brasileira de análise de informações de crédito, como suspeita.
ALEXANDRE LEORATTI – Repórter em Brasília. Faz parte da equipe de Tributário, com foco na cobertura do Carf, PGFN e Receita Federal. Antes de atuar em Brasília, foi repórter do JOTA em São Paulo.
