Com intuito de esclarecer e orientar as empresas, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) emitiu em seu site oficial em 22/2 as diretrizes a serem observadas por empresas no reporte de incidentes de segurança que possam acarretar em riscos e danos relevantes aos titulares de dados.
O art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD, lei 13.709/2018) determina que é obrigação da empresa comunicar à ANPD e às pessoas físicas a ocorrência de incidente de segurança que lhe acarretem riscos ou danos relevantes aos seus direitos, na qualidade de titulares de dados pessoais.
Por outro lado, o parágrafo primeiro desse mesmo artigo menciona que o reporte deve acontecer em “prazo razoável”, o que gerava insegurança e margem para dúvidas quanto à adequação do prazo do reporte pela empresa. A publicação esclarece algumas das principais dúvidas que perduravam.
Nas referidas diretrizes, a ANPD:
• Definiu “incidente de segurança” como qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais
• Orientou como as empresas devem agir quando ocorrer um incidente de segurança
• Exemplificou em quais situações as empresas devem comunicar incidentes à ANPD e aos titulares de dados
• Definiu o conteúdo do reporte de evento adverso pelas empresas à ANPD e aos titulares de dados
• Indicou que, na pendência da regulamentação, o reporte da ciência do evento adverso deve ser comunicado à ANPD no prazo de até dois dias úteis, contados da data do conhecimento do incidente
• Estabeleceu a forma de reporte por meio de peticionamento eletrônico, disponível nesse link
A diretrizes definidas pela ANPD corroboram o fato de que a agência já está atuante e organizada para exercer seu papel regulador e fiscalizador do cumprimento das normas da LGPD, inclusive na aplicação de multas e penalidades administrativas, que entram em vigor em agosto deste ano.
Clique no botão abaixo e veja a íntegra das diretrizes:
