No dia 23 de dezembro foi divulgado novo formulário para comunicação de incidentes de segurança pelos controladores de dados pessoais para a Autoridade Nacional de Proteção de Dados (ANPD).
A comunicação de incidentes de segurança com dados pessoais está prevista no artigo 48 da Lei Geral de Proteção de Dados (LGPD), estabelecendo que os controladores de dados pessoais deverão comunicar à ANPD a ocorrência de incidentes de segurança, sempre que o evento puder causar riscos ou danos relevantes aos titulares.
Destaca-se que incidente de segurança pode ser considerado como um evento adverso capaz de comprometer a confidencialidade, integridade ou disponibilidade dos dados pessoais. Nesse contexto, incidentes podem ocorrer de diversas formas e não se limitam às violações de confidencialidade, mas também são caracterizados em casos de perda ou indisponibilidade dos dados pessoais. Podem ser citados como exemplos o vazamento ou sequestro de dados pessoais (ransomware), bem como a divulgação não intencional, desde tenham o potencial de causar riscos ou danos relevantes aos titulares dos dados.
Com o desenvolvimento do novo formulário, a ANPD espera (i) facilitar o preenchimento pelos controladores, bem como a análise das comunicações pela Autoridade; e (ii) melhorar a qualidade das informações recebidas sobre os incidentes de segurança envolvendo dados pessoais, de modo a permitir a estruturação de uma base de dados confiável sobre o tema. O novo formulário já está disponível no site da ANPD, e deverá ser utilizado para a comunicação dos incidentes a partir de 1º de janeiro de 2023, por meio do Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
A ANPD recomenda que a comunicação seja feita o mais breve possível, em até 2 dias úteis da ciência do fato. Caso o controlador não disponha de todas as informações cabíveis sobre o incidente, a comunicação à ANPD pode ser feita em 2 etapas: (i) preliminar, em até 2 dias da ciência do fato; e (ii) complementar, em até 30 dias da comunicação preliminar.
Vale destacar que o atraso injustificado na comunicação à Autoridade pode levar à aplicação de sanções administrativas, como advertência, multa, divulgação pública da infração, ou inclusive o bloqueio/eliminação da base de dados do controlador relacionada ao incidente.
O Rolim, Viotti, Goulart, Cardoso Advogados permanece à disposição para quaisquer esclarecimentos relacionados ao processo de comunicação de incidentes à Autoridade Reguladora.
