ANPD e incidente de segurança: como notificar?

A Lei Geral de Proteção de Dados (LGPD) estabelece a obrigatoriedade de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular sobre a ocorrência de incidentes de segurança. Quem deve fazer e como notificar? Leia aqui!


Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, em setembro de 2020, as empresas precisaram se atentar para adequar ao previsto na Lei.

Leia também: Como implementar um projeto de adequação à LGPD na sua empresa

Isso porque, em casos de não cumprimento da lei, algumas medidas de sancionamento podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) — órgão responsável pela fiscalização das empresas.

Portanto, ao identificar um incidente de segurança, é importante entender como realizar o reporte adequado para a ANPD a fim de que ações de controle possam ser tomadas.

Quer saber mais sobre o que é um incidente de segurança, o que fazer e como notificar a ANPD? Então, este conteúdo foi feito para você. Boa leitura!

O que é um incidente de segurança com dados pessoais?

Em primeiro lugar, um incidente de segurança com dados pessoais é qualquer evento adverso confirmado que tenha relação à violação na segurança de dados pessoais.

Como exemplo, citamos um acesso não autorizado, acidental ou ilícito que pode causar destruição, perda, alteração, vazamento ou risco para os direitos e liberdades do titular dos dados pessoais.

Segundo o art. 46 da Lei n° 13.709/2018 (Lei Geral de Proteção de Dados — LGPD), devem ser adotadas medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais.

Como criar um plano de gestão de incidentes

Um plano de gestão de incidentes é um conjunto de procedimentos que uma organização deve seguir em caso de um incidente de segurança de dados, como uma violação de segurança ou perda de dados. 

O objetivo do plano de gestão de incidentes é garantir que a organização esteja preparada para lidar rápida e eficazmente com qualquer incidente de segurança de dados que possa ocorrer.

Para criar um plano de incidentes com dados pessoais de acordo com a LGPD, é importante seguir algumas etapas. 

Em primeiro lugar, é necessário identificar os dados pessoais que serão tratados e os riscos envolvidos no tratamento desses dados. Isso pode incluir riscos de violação de privacidade, roubo de dados ou vazamento de informações confidenciais.

Em segundo lugar, é importante estabelecer medidas de segurança adequadas para proteger os dados pessoais. Isso pode incluir medidas técnicas, como criptografia de dados ou autenticação de usuários, bem como medidas administrativas, como treinamento de funcionários e políticas de segurança de dados.

Por fim, é importante criar um plano de incidentes que descreva como lidar com possíveis incidentes envolvendo dados pessoais. Esse plano deve incluir procedimentos para identificação, notificação e resolução de incidentes, bem como medidas para prevenir futuros incidentes. 

Quem deve comunicar o incidente à ANPD?

De acordo com o art. 48 da LGPD, é obrigação do controlador comunicar à Autoridade e ao titular sobre a ocorrência de incidente de segurança que possa causar risco ou dano relevante aos titulares.

Portanto, recomenda-se que os controladores adotem uma postura de cautela. Ou seja, a comunicação deve ser feita mesmo nos casos em que existem dúvidas sobre a relevância dos riscos envolvidos.

Em suma, para lidar com situações como essa, a empresa precisa já estar por dentro de todas as normas da LGPD e já ter adequado o seu negócio a ela.

O TAGD Advogados atua oferecendo consultorias personalizadas sobre o assunto e pode ajudar as empresas nos momentos de incidentes como os citados no conteúdo. 

Entre em contato e saiba mais.

Patricia Barcellos Madeira
patriciabarcellos@tagdlaw.com

Mariana Macedo
mariana.macedo@tagdlaw.com

OUTROS
artigos