[LGPD] ANPD define regulamentação de incidentes de segurança
Atualizado: 16 de mar. de 2021
A Autoridade Nacional de Proteção de Dados (ANPD), dá mais um passo no país rumo as definições das normas necessárias para a aplicação da Lei Geral de Proteção de Dados (LGPD).
Depois de regulamentar multas e sanções para PMEs, agora a Autoridade divulgou as diretrizes para que os agentes de tratamento de dados pessoais comuniquem incidentes de segurança no tratamento de dados pessoais, conforme art. 48. A definição está relacionada ao art. 47 da LGPD, que obriga os responsáveis do tratamento de dados a garantir Segurança da Informação. O artigo também determina que Controlador e Operador adotem medidas de segurança, técnicas e administrativas para proteger as informações de acessos não autorizados. Também prevê situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Vale destacar que não será suficiente para a empresa sanar os problemas relacionados ao incidente e manter as informações restritas no âmbito corporativo. É necessária a comunicação do incidente. Ressalta-se que a ANPD poderá determinar ao Controlador a ampla divulgação do fato em meios de comunicação, de acordo com a gravidade do incidente. A empresa ainda estará sujeita às demais sanções administrativas previstas na Lei.
Quando e o quê comunicar?
Para a ANPD, sempre que o incidente de segurança puder acarretar em risco ou dano relevante aos titulares afetados, a empresa responsável deve comunicar imediatamente:
os dados de contato do responsável pelo tratamento;
os dados de contato do Encarregado de Proteção de Dados (DPO);
tipo de notificação (se completa, parcial-preliminar ou complementar);
a data e hora da detecção do incidente;
a data e hora do incidente;
a duração do incidente;
as circunstâncias em que ocorreu a violação (perda, roubo, cópia, vazamento etc.);
as informações afetadas (natureza, conteúdo dos dados pessoais, categoria, quantidade de dados e de titulares afetados);
o resumo do incidente (localização física e meio de armazenamento);
as possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
as medidas de segurança, técnicas e administrativas preventivas tomadas pelo Controlador;
entre outros.
Segurança da Informação é com o Grupo Assaf
Desde que o assunto LGPD surgiu, os especialistas do Grupo Assaf acompanham cada novidade da Lei. O resultado é um trabalho de alto nível entregue em mais de 12 segmentos da indústria com mais de 200 mil dados pessoais tratados e centenas de sistemas adequados. Tenha ao seu lado uma equipe multidisciplinar, com competências em LGPD, Direito Digital, Análise de Riscos, Governança e Boas Práticas.
Preencha o formulário para agendar uma conversa sem compromisso.
Comments