Incidentes de violação de dados pessoais precisam ser comunicados
A comunicação de ocorrências de incidentes que podem causar riscos ou dados relevantes aos titulares à Agência Nacional de Proteção de Dados (ANPD) é determinada pela Lei Geral de Proteção de Dados (LGPD), em seu artigo 48. O tema ganhou ainda mais relevância com a penalização recente de dois agentes de tratamentos de dados pessoais por violação do dever de comunicação (Confira matéria sobre o tema) e exige que as cooperativas fiquem constantemente atentas aos aspectos gerais que envolvem essa comunicação.
O cumprimento dessa obrigação ocorre por meio do processo de Comunicação de Incidente de Segurança (CIS). Em seu site institucional, a ANPD oferece informações gerais relacionadas ao procedimento ou de eventos com a possibilidade de causar ou que causem risco ou dano relevantes para os titulares de dados pessoais. Confira abaixo, algumas dicas:
- O que caracteriza um incidente de segurança de dados pessoais?
Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais pode caracterizar um incidente. Eles podem decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.
- Todos os incidentes identificados devem ser reportados à ANPD?
Não. Somente os incidentes que reúnem, cumulativamente, os seguintes critérios:
- Tenha a ocorrência confirmada pelo agente;
- Envolva dados pessoais sujeitos à LGPD;
- Acarrete risco ou dano relevante aos titulares dos dados.
Segundo a ANPD, “são considerados incidentes capazes de causar risco ou dano relevante aqueles que possam causar aos titulares danos materiais ou morais, expô-los a situações de discriminação ou de roubo de identidade, especialmente se envolverem dados em larga escala, sensíveis e de grupos vulneráveis como crianças e adolescentes ou idosos.”
- Qual o prazo para a comunicação?
Ainda não foi expressamente definido, mas a recomendação é para que os controladores façam o registro até dois dias úteis da ciência do fato. Há expectativas para que o prazo oficial seja definido pela autoridade por meio de regulamento próprio sobre o tema.
- Quais os formatos da comunicação?
Ela pode ser feita de forma completa, ou seja, quando já foram identificadas as causas e reunidas todas as informações pertinentes ao evento, ou preliminar, com as informações obtidas até o momento da comunicação, que precisam ser complementadas em até 30 dias. Para ambas, deve ser utilizado o formulário padrão disponibilizado pela ANPD (Confira ANPD disponibiliza nova versão do formulário para comunicação de incidentes).
- Quais informações devem ser comunicadas aos titulares atingidos pelo incidente?
O comunicado aos titulares deve fazer uso de linguagem clara e conter, ao menos, as seguintes informações:
- Resumo e data da ocorrência do incidente;
- Descrição dos dados pessoais afetados;
- Riscos e consequências aos titulares de dados;
- Medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
- Dados de contato do encarregado pelo tratamento de dados pessoais da cooperativa para que os titulares possam solicitar informações adicionais a respeito do incidente.
Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de temas relevantes que contribuem com o desenvolvimento da cultura de proteção de dados pessoais no cooperativismo.