A Lei Geral de Proteção de Dados (LGPD) estabelece a obrigatoriedade da comunicação de incidentes de segurança que comprometam a integridade, disponibilidade ou confidencialidade dos dados pessoais. No artigo 48 da LGPD, é definido que o controlador tem a responsabilidade de comunicar à Autoridade Nacional de Proteção de Dados (ANPD) em caso de ocorrência de incidentes.
Esses eventos podem ocorrer de forma acidental, como por exemplo falhas em sistemas de armazenamento que resultam na perda de dados, ou de forma intencional, como invasões de hackers que criptografam ou tornam os dados indisponíveis. Mesmo incidentes decorrentes de atos acidentais ou por falhas de segurança por parte de terceiros devem ser comunicados pelo controlador.
No entanto, nem todos os incidentes precisam ser comunicados. A normativa da ANPD estabelece critérios que determinam quais incidentes devem ser comunicados. Essa normativa está em processo de regulamentação e se tornará obrigatória ainda neste ano. Já foi realizada uma consulta pública para definição dos procedimentos que devem ser seguidos.
É fundamental compreender quais incidentes devem ser comunicados
Em geral, devem ser comunicados aqueles incidentes que forem confirmados e que estejam relacionados a dados pessoais. Por exemplo, um vazamento de dados de estoque que não envolva dados pessoais não deve ser comunicado à ANPD, pois a autoridade lida especificamente com dados pessoais.
Além disso, o risco do dano causado ao titular dos dados também deve ser avaliado. Se ocorrer um vazamento de dados sensíveis (como informações de cartão de crédito, por exemplo), a comunicação à ANPD é extremamente relevante e necessária. A quantidade de dados também deve ser considerada. Se os titulares já foram contatados e foram implementados controles de segurança efetivos, a comunicação pode não ser necessária.
Ao receber a comunicação, a ANPD avaliará o caso e poderá abrir um processo administrativo ou realizar uma fiscalização. A comunicação voluntária pode ser considerada como um atenuante em caso de aplicação de sanções, demonstrando colaboração para mitigar os riscos aos titulares dos dados.
Como fazer a comunicação
A comunicação deve ser feita por meio de um formulário disponibilizado no site da ANPD. Esse formulário deve ser preenchido e assinado digitalmente. Nele, são solicitadas informações sobre a empresa, o controlador e o encarregado de dados, bem como detalhes sobre o incidente, sua causa raiz, e as medidas de segurança implementadas para proteger os dados.
Existem duas formas de comunicação: preliminar ou completa. Atualmente, a ANPD recomenda que a comunicação seja feita em até dois dias úteis após a ocorrência do incidente, mas essa recomendação pode ser alterada para três dias úteis.
A comunicação preliminar pode ser feita caso a empresa tenha conhecimento parcial do incidente e não possua todas as informações necessárias. Nesse caso, é necessário fornecer as informações disponíveis e complementar a comunicação em até 30 dias, assim que todas as informações forem obtidas.
As empresas e controladores de dados devem se preparar antecipadamente para responder a um incidente de segurança cibernética. A responsabilidade de fazer a comunicação recai sobre o controlador, o agente responsável pelas principais decisões e pela definição da finalidade do tratamento dos dados. Mesmo se a empresa tercerizar o tratamento dos dados e o incidente for causado por uma falha do operador, a responsabilidade pela comunicação ainda é do controlador.
É importante destacar que, antes de iniciar o tratamento de dados, é recomendado elaborar um Relatório de Impacto de Proteção de Dados (RIPD). Esse relatório visa identificar quais dados serão tratados, qual seria o impacto de um incidente envolvendo esses dados e como protegê-los de maneira adequada.Esse relatório poderá ser exigido pela ANPD e deve ser informado junto com o formulário de comunicação de incidente.
A comunicação de incidentes à ANPD é um processo detalhado e completo, com informações adicionais e medidas adotadas para evitar incidentes futuros. A ANPD avaliará as informações fornecidas e decidirá se abrirá um processo ou arquivará o caso.
Dicas que podem ajudar a reduzir os riscos
No geral, estar em conformidade com a LGPD, ter controles de segurança implementados e estabelecer uma relação clara com os operadores são medidas fundamentais para reduzir os riscos de incidentes e atender aos requisitos da ANPD e dos titulares dos dados.
Em conclusão, a comunicação de incidentes à ANPD de acordo com a LGPD exige preparação, cumprimento dos prazos estabelecidos e fornecimento de informações detalhadas.
