Comunicando Incidentes
Primeiramente, vale esclarecer que um incidente de segurança com dados pessoais ocorre diante da ocorrência de vulnerabilidade do tratamento dos dados pessoais. Ex: vazamento acidental do banco de dados, erro no sistema que possibilite acesso não autorizado, transmissão dados não autorizado, entre outros.
Caso ocorra algum tipo de incidente é dever do controlador comunicar à autoridade competente – AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), bem como ao(s) titular(es).
O site https://www.gov.br/anpd/pt-br é portal disponibilizado pelo governo federal para acesso imediato com a Autoridade Competente, viabilizando os guias orientativos, esclarecimento quanto as petições que os titulares fará em face dos controladores, bem como a comunicação de incidente de segurança disponibilizando o Formulário de comunicação de incidente de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD).
O art. 46 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Caso ocorra algum incidente de segurança com os dados pessoais, deverá ser avaliado internamento o incidente, comunicar ao encarregado, ao controlador (caso você for o operador), comunicar a ANPD e ao(s) titular(es) de dados, caso ocorra risco ou dano relevante aos mesmos.
Devendo ainda, elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
A LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), não sendo determinado ainda um prazo especifico pela ANPD, mas enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.