No caso de uma suspeita de violação de dados, quais informações devem constar do comunicado?

 A ANPD disponibilizou em seu site um informativo sobre como os agentes de tratamento deverão proceder em caso de incidente de segurança envolvendo dados pessoais.

Primeiro é importante entender o que é um incidente de segurança com dados pessoais: é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais. Também é entendido como incidente de segurança qualquer evento que possa impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação assim como qualquer violação da Política de Segurança da Informação, nesses dois casos relacionados a dados pessoais.

Como já disse em um texto anterior: nenhuma empresa (aqui também vou incluir órgãos governamentais e qualquer entidade) consegue garantir 100% a segurança e proteção das informações. O pensamento não é se um caso de incidente irá acontecer um dia, mas quando irá acontecer. É fato: qualquer empresa irá passar por algum tipo de incidente de segurança. Todos os sistemas de informação possuem algum tipo de vulnerabilidade e as invasões e ataques só tendem a aumentar.

Dessa forma, é responsabilidade dos agentes de tratamento de dados pessoais (controladores e operadores) adotarem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

O que fazer em caso de um incidente de segurança com dados pessoais?

• Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis;
• Comunicar ao encarregado de proteção de dados;
• Comunicar ao controlador, se você for o operador;
• Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares;
• Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

Quem deve fazer a comunicação de incidentes?

A obrigação é do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

Embora a responsabilidade e a obrigação pela comunicação à ANPD sejam do controlador, o operador poderá também fazer a notificação.

O que comunicar à Autoridade Nacional de Proteção de Dados?

As informações devem ser claras e concisas. Recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD:

• Identificação e dados de contato de:
• Entidade ou pessoa responsável pelo tratamento;
• Encarregado de dados ou outra pessoa de contato;
• Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
• Informações sobre o incidente de segurança com dados pessoais:
• Data e hora da detecção;
• Data e hora do incidente e sua duração;
• Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros;
• Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
• Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;
• Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
• Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD;
• Resumo das medidas implementadas até o momento para controlar os possíveis danos;
• Possíveis problemas de natureza transfronteiriça;
• Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.

No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.

Em que situação e o que comunicar ao titular dos dados?

Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados. A probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

O controlador deverá avaliar internamente a relevância do risco ou dano do incidente de segurança para determinar se deverá comunicar à ANPD e ao titular. Para tanto, sugere-se responder internamente às seguintes perguntas:

1. Ocorreu um incidente de segurança relacionado a dados pessoais?

☐Sim – Próxima pergunta.

☐Não – Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.

2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?

☐Sim – Comunique à ANPD e ao titular.

☐Não – A comunicação à ANPD não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.

A notificação do incidente ao titular poderá ser em outro formato que não seja tão técnico, através do meio mais fácil de contato e deve ser o mais transparente possível, demonstrando que todas as providências estão sendo tomadas.

Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

A comunicação do incidente de segurança deverá ser feita em até de 2 dias úteis, contados da data do conhecimento do incidente.

Deverá ser preenchido o formulário eletrônico disponível no site e envie por meio de Peticionamento Eletrônico - Usuário Externo.

Para maiores informações sobre o envio acesse: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.

O que fazer caso haja uma suspeita de violação de dados?

Como comunicar a violação de dados pessoais?

Quais os itens que devem constar no relatório de impacto a proteção de dados pessoais?

Quando ocorrer um incidente de segurança com os dados devo comunicar quem?