Em conformidade com a sua agenda regulatória, que estabelece para o 1º semestre de 2021 a elaboração de especificações sobre comunicação do controlador à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares em caso de incidentes de segurança, a ANPD publicou, em 23 de fevereiro de 2021, orientações para essa comunicação.

É importante ressaltar que essas orientações não possuem caráter vinculante, já que a matéria ainda está em processo de recebimento de subsídios e de consulta pública, o que apresenta a possiblidade de a ANPD fazer alterações posteriores.

  • O que é?

É qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, que pode ocasionar risco para os direitos e liberdades do titular dos dados pessoais. Essa violação pode ser um acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração e vazamento de dados ou qualquer forma de tratamento de dados inadequada ou ilícita.

  • Em que situação e o que comunicar ao titular dos dados?

Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados. Os critérios ainda serão regulamentados, mas pode-se extrair da LGPD que a probabilidade de risco ou dano relevante para os titulares será maior sempre que envolver dados sensíveis, titulares em situação de vulnerabilidade ou quando tiver o potencial de gerar danos materiais ou morais.

Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

  • O que fazer?
    • Avaliar internamente o incidente: natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados,consequências concretas e prováveis e medidas de segurança, técnicas e administrativas a serem adotadas;
    • Comunicar ao encarregado de proteção de dados;
    • Comunicar ao controlador, se você for o operador, nos termos da LGPD;
    • Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares – a comunicação deve ser feita pelo controlador;
      • Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas da LGPD
  • O que comunicar à ANPD?

A ANPD disponibilizou um formulário para ser preenchido no momento da comunicação. Esse formulário solicita, dentre outras coisas:

    • Identificação e dados de contato do responsável pelo tratamento, do encarregado ou de outra pessoa de contato.
    • Indicação se a notificação é completa ou parcial. Se for parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
    • Informações sobre o incidente de segurança:
      • Data e hora da detecção e do incidente;
      • Circunstâncias do incidente (como roubo, perda, vazamento etc.);
      • Descrição dos dados afetados, possíveis consequências e medidas de segurança preventivas tomadas pelo controlador, nos mesmos requisitos da análise interna do incidente;
      • Resumo do incidente, com a sua localização física e meio de armazenamento;
      • Resumo das medidas implementadas até o momento da comunicação para controlar os possíveis danos;
      • Possíveis problemas de natureza transfronteiriça;
      • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos;
      • Justificativa caso a comunicação não seja feita no prazo sugerido de 2 dias úteis a partir da ciência do incidente.

Além disso, é recomendado que os controladores efetuem a comunicação à ANPD mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. A eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à LGPD.