Alerts
Tanto o final de 2022 como o começo de 2023 trouxeram novidades na área de proteção de dados
Primeiramente, no dia 23 de dezembro de 2022, a Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou um novo formulário para comunicação de incidentes de segurança em conformidade com os dispositivos da Lei Geral de Proteção de Dados Pessoas (Lei no 13.709/2018 – “LGPD”). O novo formulário está disponível no site da própria ANPD e deverá ser protocolado eletronicamente por meio do peticionamento eletrônicos do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
No novo comunicado, a ANPD esclareceu ainda que “um incidente precisa ser comunicado se atender, cumulativamente, aos seguintes critérios: (i) tenha ocorrência confirmada pelo agente; (ii) envolva dados pessoais sujeitos à LGPD; (iii) acarrete risco ou dano relevante aos titulares de dados”.
Além disso, a ANPD destacou que nem todos os incidentes de segurança deverão ser comunicados. Segundo a autoridade, caberá ao controlador de dados fazer uma avaliação dos riscos e impactos aos titulares e, então, verificar a necessidade ou não de comunicar. Ainda, a autoridade pontuou quais aspectos devem ser considerados na avaliação de riscos, tais como, o contexto da atividade de tratamento de dados; a categoria e quantidade de titulares afetados; os tipos de dados envolvidos; os potenciais danos materiais, reputacionais causados aos titulares, etc.
É importante destacar ainda que a ANPD, para preservar os direitos dos titulares, recomenda que a comunicação de incidentes deve ser feita em até 2 (dois) dias úteis da ciência do fato. Em caso de demora injustificada na comunicação, poderão ser aplicadas as sanções administrativas previstas na LGPD. É importante destacar que, a ANPD ressaltou que, caso o controlador não tenha as informações suficientes dentro do prazo recomendado, a comunicação poderá ser feita em etapas: preliminar e complementar.
Adicionalmente, A ANPD colocou que a comunicação do incidente seja feita de forma individual e diretamente aos titulares, em linguagem clara, contendo: (i) informações resumidas do ocorrido; (ii) a descrição dos dados afetados; (iii) os riscos envolvidos e as consequências aos titulares; (iv) as medidas adotadas pelo controlador e as recomendações aos titulares para mitigar os efeitos do incidente, se aplicável; e (v) as informações sobre o encarregado de dados do controlador. Caso não seja possível individualizar os titulares, poderá ser necessário comunicar a todos que constem da base violada. A ANPD também determinou que, somente excepcionalmente e de forma justificada, a comunicação pode ser indireta por meio de publicação em meios de comunicação.
O novo modelo de comunicado, ora publicado, também traz campos para preenchimento relativos às medidas de segurança tomadas anteriormente ao Incidente, ou seja, as medidas de segurança que mostrem a diligência do Controlador quanto ao processamento de dados, bem como, as medidas de segurança tomadas após o incidente de segurança.
Caberá à Coordenação-Geral de Fiscalização (“CGF”) da ANPD receber e tratar as comunicações de incidentes. Caso seja verificado que não houve violação à LGPD, nem a necessidade de adoção de medidas adicionais, o processo poderá ser arquivado. Caso a CGF entenda que o controlador não adotou as medidas necessárias, poderá determinar a adoção de outras medidas.
Ainda, no dia primeiro de janeiro deste ano, o presidente Lula assinou o Decreto 11.348/23, pelo qual a ANPD deixou de ser vinculada à Secretaria Geral da Presidência da República, passando a ser oficialmente vinculada ao Ministério da Justiça, sob o comando do Ministro da Justiça Flávio Dino. Assim, cabe agora a esse Ministério estabelecer políticas para o tratamento de dados pessoais, bem como desenvolver estratégia para integração e interoperabilidade dos sistemas de tecnologia da informação dos entes federativos em matérias de justiça e segurança pública.
A nossa equipe de Proteção de Dados permanece à disposição para quaisquer dúvidas e esclarecimentos.
