ANPD anuncia consulta pública sobre incidentes de segurança
Autoridade disponibilizou informações para facilitar a comunicação de incidentes e visa reunir subsídios para futura regulamentação
Assuntos
A Autoridade Nacional de Proteção de Dados (ANPD) anunciou, na última segunda-feira (22), a realização de tomada de subsídios para regulamentação sobre o dever de comunicação de incidentes de segurança previsto na Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD). Além disso, a Autoridade também divulgou documento com orientações sobre o tema, bem como modelo de formulário de comunicação de incidente de segurança de dados pessoais à ANPD.
Essas iniciativas fazem parte da Agenda Regulatória da ANPD para o biênio 2021-2022, aprovada pela Portaria nº 11 de 27 de janeiro de 2021, a qual prevê a regulamentação de uma série de temas previstos na LGPD, ainda pendentes de definição.
Medidas de segurança em casos de incidentes de segurança
Com o crescente número de incidentes de segurança envolvendo dados pessoais noticiados nos últimos meses, envolvendo tanto entes públicos como privados, o debate sobre a correta e tempestiva comunicação desses incidentes tornou-se prioritário. Por essa razão, antes mesmo da tomada de subsídios, a ANPD preparou o guia “Incidentes de Segurança de Dados Pessoais e sua avaliação para fins de comunicação à ANPD“, bem como disponibilizou formulário de comunicação de incidente de segurança de dados pessoais à ANPD.
O guia preparado pela ANPD endereça algumas questões importantes como:
- Definição de incidente de segurança de dados pessoais;
- O que fazer em caso de um incidente de segurança de dados pessoais;
- O que comunicar à Autoridade Nacional de Proteção de Dados;
- Em que situação e o que comunicar ao titular dos dados;
- Prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados;
- Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados.
Uma das principais novidades desse documento é o prazo para a notificação. A ANPD indica que “enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.”
O formulário, por sua vez, apresenta campos para a descrição objetiva do incidente, com os itens já listados no Artigo 48, parágrafo 1º da LGPD, bem como itens adicionais ao texto legal tais como:
- Data e hora da detecção;
- Data e hora do incidente e sua duração;
- Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
- Possíveis problemas de natureza transfronteiriça.
Esse template está disponível no site da ANPD e deve ser enviado por meio do sistema SEI de peticionamento eletrônico. É importante destacar que tanto o guia quanto o formulário ainda podem sofrer alterações, após a tomada de subsídios e subsequente regulamentação.
Como contribuir com a regulamentação da comunicação de incidentes
Por fim, o modelo para envio de contribuições sobre o tema disponibilizado pela ANPD apresenta questões a serem analisadas com objetivo de direcionar a tomada de subsídios da futura regulamentação. Dentre elas, destacam-se:
- Critérios para avaliação de risco ou dano relevante pela ANPD;
- Distinção entre risco ou dano;
- Considerações que devem ser feitas na avaliação de risco ou dano;
- Informações que os controladores devem apresentar à ANPD e aos titulares;
- Definição do prazo razoável para informar tanto a ANPD quanto os titulares;
- Possíveis exceções quanto à obrigatoriedade de informar a ANPD e os titulares, dentre outros.
As contribuições podem ser enviadas para o e-mail [email protected], com o assunto Tomada de Subsídios 2/2021, até o dia 24 de março de 2021.
Para mais informações sobre temas relacionados à segurança, conheça a prática de Proteção de Dados do Mattos Filho.