Como comunicar um Incidente de Segurança de Dados Pessoais?
A Lei Geral de Proteção de Dados (LGPD) exige que situações que representem risco ou dano aos titulares dos dados pessoais, os chamados Incidentes de Segurança, sejam comunicados à ANPD (Autoridade Nacional de Proteção de Dados).
Mas você sabe o que classifica um Incidente de Segurança de Dados Pessoais? E como deve ser feita a comunicação desse incidente ao órgão responsável?
Neste artigo nós iremos te explicar todas essas questões. Confira!
O que é um Incidente de Segurança?
Apesar de este conceito não estar explícito na Lei Geral de Proteção de Dados, podemos entender como Incidente de Segurança todo e qualquer evento que envolva acessos não autorizados, alteração, perda ou violação das informações pessoais dos titulares dos dados.
Sendo assim, são considerados Incidentes de Segurança não apenas casos de vazamento de dados e ataques cibernéticos, como também o acesso de informações pessoais sem permissão, o vazamento acidental dos dados e qualquer outra ação que seja considerada como ilícita ou inadequada.
Imagine, por exemplo, que os currículos de candidatos a uma vaga em uma empresa fiquem disponíveis para outras pessoas que não aquela que é responsável pelos documentos.
Isso pode parecer uma ocorrência comum, mas por se tratar de um caso em que os dados pessoais desses candidatos estão expostos, isso se configura como um Incidente de Segurança e pode trazer problemas para a empresa.
Como comunicar um Incidente de Segurança?
Agora que você sabe o que é um Incidente de Segurança, é hora de aprender quais são as medidas que sua empresa deve tomar caso seja necessário comunicar um incidente deste tipo.
De acordo com o artigo 48 da LGPD, o controlador deverá comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular dos dados sobre a ocorrência de um Incidente de Segurança que possa acarretar risco ou dano relevante aos titulares.
Além disso, a comunicação deve ser feita no prazo definido pela ANPD e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Após a comunicação do Incidente de Segurança, a ANPD verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.
Por fim, o artigo determina que, no juízo de gravidade do Incidente de Segurança, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Conclusão
Após ler este artigo, é importante que você tenha compreendido o que são Incidentes de Segurança e como sua empresa deve agir caso esse problema venha a ocorrer em sua empresa.
Além disso, é fundamental que você tome as providências necessárias para evitar que seu negócio passe por Incidentes de Segurança.
E para isso, você pode contar com a DocBuilder!
Nossa consultoria para LGPD conta com todas as soluções necessárias para que sua empresa possa garantir a proteção de dados e realizar processos mais seguros em sua empresa.
Acesse nosso site e saiba mais!
Se você gostou deste artigo, continue acompanhando o Blog da DocBuilder. Nos siga também no Instagram e no Facebook e fique por dentro de todas as novidades sobre a LGPD.
