Ao se falar em incidente de segurança, logo pensamos em situações extremas envolvendo ataques cibernéticos, tais como malwares, ransomwares, phishing, que indisponibilizam o controle ou o acesso de dados e informações armazenados nas redes de computadores e sistemas, com propósitos escusos ou criminosos.

Entretanto, segundo a Lei Geral de Proteção de Dados Pessoais – LGPD, incidentes de segurança podem ser caracterizados todas as vezes em que ocorrem acessos não autorizados a dados pessoais, bem como situações acidentais ou ilícitas que acarretem a destruição, perda, alteração, comunicação ou difusão de dados pessoais mantidos por uma determinada organização.

Ou seja, o envio de e-mails contendo dados pessoais por quaisquer pessoas de uma determinada organização para destinatários errados, a perda de dispositivos eletrônicos contendo dados pessoais armazenados, tais como pen-drives, aparelhos celulares ou notebooks e até mesmo acessos a documentos digitais ou físicos por pessoas não autorizadas, também poderão ser considerados como incidentes de segurança.

A LGPD estabelece que a ocorrência de incidentes de segurança que acarretem riscos ou danos relevantes aos titulares dos dados, deverá ser comunicada à Autoridade Nacional de Proteção de Dados – ANPD, órgão responsável pela fiscalização e cumprimento da LGPD, para permitir aos titulares o conhecimento sobre eventuais violações de seus dados pessoais, bem como permitir que as referidas empresas controladoras demonstrem as medidas de adequação adotadas em relação a proteção de dados no desenvolvimento de suas atividades.

Diante disso, a ANPD disponibilizou um formulário para comunicação de ocorrências de incidentes de segurança envolvendo dados pessoais com o propósito de auxiliar os controladores no preenchimento das informações necessárias para avaliação da ANPD quanto aos eventuais riscos e danos aos titulares.

De um modo geral, para o preenchimento do formulário será necessário que as empresas possuam minimamente um plano de resposta a incidentes de segurança envolvendo dados pessoais, de maneira a evidenciar a adoção de políticas de boas práticas e governança, bem como a adoção de medidas corretivas visando minimizar riscos e danos aos titulares.

De fato, tais evidências serão também consideradas como critérios que possibilitarão o abrandamento de eventuais penalidades por parte da ANPD, em caso de descumprimento das obrigações previstas na LGPD em relação aos cuidados a serem tomados pelas empresas com os dados pessoais.

O formulário está disponível desde 01 de janeiro de 2023 no website da ANPD para uso exclusivo da empresa controladora dos dados pessoais e o seu envio deve ser em formato pdf. por meio do Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede). A comunicação de incidentes de segurança por pessoa diversa do controlador deverá ser realizada através do Canal de Denúncia da ANPD.

O Escritório EMERENCIANO, BAGGIO & ASSOCIADOS – ADVOGADOS vem desenvolvendo vários projetos de adequação de empresas à LGPD, estruturando Programas de Governança de Dados Pessoais que incluem Planos de Resposta a Incidentes de Segurança, além de políticas de privacidade e proteção de dados pessoais de acordo com as regras vigentes na legislação e orientações da Autoridade Nacional de Proteção de Dados. 

Este conteúdo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria, recomendação ou orientação técnica e/ou legal para casos concretos a respeito dos temas aqui abordados.

(Visited 63 times, 1 visits today)
Open chat