Incidentes de violação de dados pessoais precisam ser comunicados

A comunicação de ocorrências de incidentes que podem causar riscos ou dados relevantes aos titulares à Agência Nacional de Proteção de Dados (ANPD) é determinada pela Lei Geral de Proteção de Dados (LGPD), em seu artigo 48. O tema ganhou ainda mais relevância com a penalização recente de dois agentes de tratamentos de dados pessoais por violação do dever de comunicação (Confira  matéria sobre o tema) e exige que as cooperativas fiquem constantemente atentas aos aspectos gerais que envolvem essa comunicação.

 O cumprimento dessa obrigação ocorre por meio do processo de Comunicação de Incidente de Segurança (CIS). Em seu site institucional, a ANPD oferece informações gerais relacionadas ao procedimento ou de eventos com a possibilidade de causar ou que causem risco ou dano relevantes para os titulares de dados pessoais. Confira abaixo, algumas dicas:

1. O que caracteriza um incidente de segurança de dados pessoais?

Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais pode caracterizar um incidente. Eles podem decorrer de ações voluntárias ou   acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.

2. Todos os incidentes identificados devem ser reportados à ANPD?

Não. Somente os incidentes que reúnem, cumulativamente, os seguintes critérios:

• Tenha a ocorrência confirmada pelo agente;
• Envolva dados pessoais sujeitos à LGPD;
• Acarrete risco ou dano relevante aos titulares dos dados.

Segundo a ANPD, “são considerados incidentes capazes de causar risco ou dano relevante aqueles que possam causar aos titulares danos materiais ou morais, expô-los a situações de discriminação ou de roubo de identidade, especialmente se envolverem dados em larga escala, sensíveis e de grupos vulneráveis como crianças e adolescentes ou idosos.”

3. Qual o prazo para a comunicação?

Ainda não foi expressamente definido, mas a recomendação é para que os controladores façam o registro até dois dias úteis da ciência do fato. Há expectativas para que o prazo oficial seja definido pela autoridade por meio de regulamento próprio sobre o tema.

4. Quais os formatos da comunicação?

Ela pode ser feita de forma completa, ou seja, quando já foram identificadas as causas e reunidas todas as informações pertinentes ao evento, ou preliminar, com as informações obtidas até o momento da comunicação, que precisam ser complementadas em até 30 dias. Para ambas, deve ser utilizado o formulário padrão disponibilizado pela ANPD (Confira ANPD disponibiliza nova versão do formulário para comunicação de incidentes).

5. Quais informações devem ser comunicadas aos titulares atingidos pelo incidente?

O comunicado aos titulares deve fazer uso de linguagem clara e conter, ao menos, as seguintes informações:

• Resumo e data da ocorrência do incidente;
• Descrição dos dados pessoais afetados;
• Riscos e consequências aos titulares de dados;
• Medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
• Dados de contato do encarregado pelo tratamento de dados pessoais da cooperativa para que os titulares possam solicitar informações adicionais a respeito do incidente.

Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de temas relevantes que contribuem com o desenvolvimento da cultura de proteção de dados pessoais no cooperativismo.