Comunicar Violação de Dados
Incidente de segurança com dados Pessoais
Acidental - como o envio de informações para o destinatário incorreto
É um evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais.
atos intencionais - como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.
Um incidente precisa ser comunicado se atender:
- Envolva dados pessoais sujeitos à LGPD.
- Acarrete risco ou dano relevante aos titulares dos dados.
- Tenha a ocorrência confirmada pelo agente
Prazo de comunicação: em até 2 (dois) dias úteis da ciência do fato
Papel do Operador: tem a obrigação legal de comunicar o incidente de segurança aos titulares e à ANPD é do controlador, nos termos do art. 48 da LGPD.
O comunicado à ANPD deve conter:
- riscos e consequências aos titulares de dados;
- medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
- descrição dos dados pessoais afetados;
- dados de contato do encarregado do controlador para que os titulares possam solicitar informações adicionais a respeito do incidente.
- resumo e data da ocorrência do incidente;
Quando as sanções serão aplicadas?
Não comunicar o incidente aos titulares de dados pessoais afetados;
Não adotar medidas de segurança técnicas e administrativas compatíveis aos riscos de suas atividades de tratamento de dados.
Não comunicar o incidente à ANPD e aos titulares em tempo razoável;
A ANPD poderá solicitar ao controlador, a qualquer tempo, a apresentação de cópia do comunicado aos titulares para fins de fiscalização.
Não é necessário encaminhar à ANPD a lista de titulares afetados, ou seus dados de contato para comprovação da comunicação.
O que deve ser considerado numa avaliação?
Os tipos e quantidade de dados violados;
Os potenciais danos materiais, morais, reputacionais causados aos titulares;
As categorias e quantidades de titulares afetados;
Se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;
O contexto da atividade de tratamento de dados;
As medidas de mitigação adotadas pelo controlador após o incidente