As empresas brasileiras já estão investindo em soluções e adequações à nova Lei Geral de Proteção de Dados, criando Documentos, Políticas de Segurança, Termos de Uso e Condições, Segregações Internas e Campanhas de Conscientização para colaboradores.
Entretanto, o vazamento de dados tem aparecido constantemente no noticiário nacional e tornou-se pauta da Autoridade Nacional de Proteção de Dados (ANPD), que acabou de definir que irá considerar como incidente de segurança qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação da segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita que possa ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
É essencial ressaltar que, além da necessidade de ter uma equipe multidisciplinar preparada para esse tipo de ocorrência, ser transparente com os clientes e preparar planos de ação estratégicos e eficazes, a empresa deverá, agora, comunicar à ANPD o acontecimento, fornecendo as seguintes informações:
- Identificação e dados de contato do responsável interno pelo controle de dados;
- Informações sobre o incidente de segurança, como: data e hora da detecção; data e hora do incidente e sua duração; circunstâncias em que ocorreu a violação de segurança de dados pessoais; descrição dos dados pessoais e informações afetadas – como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados; resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento; possíveis consequências e efeitos negativos sobre os titulares dos dados afetados; medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD; resumo das medidas implementadas até o momento para controlar os possíveis danos.
Essa comunicação deverá ser realizada com o preenchimento do Formulário de Comunicação de Incidente de Segurança de Dados Pessoais, disponível no link: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca.
A ANPD destaca que a comunicação do incidente deve ocorrer em um prazo razoável, sugerindo 2 dias após a sua identificação, e sempre que o vazamento represente um risco de dano relevante aos titulares dos dados, ou seja, sempre que envolver dados sensíveis ou de indivíduos que possam ser considerados vulneráveis ou, ainda, possam representar riscos de danos materiais ou morais.
As empresas devem estar preparadas para eventuais vazamentos e fiscalizações que possam surgir e a melhor maneira de prevenir um incidente é estando adequada e informada sobre as diretrizes da LGPD, tendo em mente as responsabilidades exigidas quando se faz tratamento de dados, e colocando em prática as exigências mínimas de segurança da informação.
