ANPD inicia processo de regulamentação sobre incidentes de segurança

ANPD inicia processo de regulamentação sobre incidentes de segurança com tomada de subsídios. Além de receber contribuições da sociedade para futura regulamentação, a Autoridade disponibilizou um formulário para comunicação de incidentes de segurança à ANPD.

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou no dia 22 de fevereiro de 2021 a tomada de subsídios sobre a notificação de incidentes de segurança nos termos do art. 48 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais. As contribuições devem seguir o modelo divulgado no site da Autoridade e podem ser enviadas no formato .pdf. para o e-mail , com o assunto Tomada de Subsídios 2/2021, até o dia 24 de março de 2021.

Para acessar a Nota Técnica, clique aqui.

Para acessar o formulário da tomada de subsídios, clique aqui.

Outro ponto importante foi a disponibilização, pela Autoridade, do formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como o documento que contém orientações sobre o que fazer em caso de um incidente. Tais documentos servirão como guia enquanto não realizada a necessária regulamentação.

Para acessar as orientações e o formulário de comunicação de incidentes de segurança, clique aqui. 

 A iniciativa consta da Agenda Regulatória para o biênio 2021-2022, aprovada pela Portaria nº 21 de 27 de janeiro de 2021, a qual prevê como meta, em seu item nº 6, o início do processo de regulamentação sobre o assunto ainda no primeiro semestre do presente ano.

A autoridade está com a expectativa de que a Tomada de Subsídios contribuirá de forma relevante para a elaboração da regulamentação, cuja primeira minuta será objeto de consulta e audiência pública em breve.

Para Nairane Rabelo, Diretora da ANPD, “a tomada de subsídios sobre a notificação de incidentes demonstra a seriedade e a celeridade que a Autoridade quer dar aos temas relacionados à proteção dos dados pessoais”.

INCIDENTES DE SEGURANÇA DE DADOS PESSOAIS E SUA AVALIAÇÃO PARA FINS DE COMUNICAÇÃO À ANPD

 

O que é um incidente de segurança de dados pessoais?

Um incidente de segurança de dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

O art. 47 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Acesse o formulário neste link

 

O que fazer em caso de um incidente de segurança de dados pessoais?

    • Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Vide formulário de avaliação constante do sítio eletrônico da ANPD.
      • Comunicar ao encarregado (Art. 5º, VIII da LGPD).
      • Comunicar ao controlador, se você for o operador, nos termos da LGPD.
      • Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
      • Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

O que comunicar à Autoridade Nacional de Proteção de Dados?

O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

As informações devem ser claras e concisas. Além do que prescreve o § 1º do artigo 48 da LGPD, recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança de dados pessoais da ANPD:

  • Identificação e dados de contato de:
    • Entidade ou pessoa responsável pelo tratamento.
    • Encarregado de dados ou outra pessoa de contato.
    • Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
  • Informações sobre o incidente de segurança de dados pessoais:
    • Data e hora da detecção.
    • Data e hora do incidente e sua duração.
    • Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
    • Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados
    • Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento.
    • Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
    • Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
    •  Resumo das medidas implementadas até o momento para controlar os possíveis danos.
    • Possíveis problemas de natureza transfronteiriça.
    • Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.

No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.

 

Em que situação e o que comunicar ao titular dos dados?

Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.

Critérios mais objetivos serão objeto de futura regulamentação e não poderão ser aqui exigidos sob pena de se inovar na LGPD. De toda forma, pode-se extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

O controlador deverá avaliar internamente a relevância do risco ou dano do incidente de segurança para determinar se deverá comunicar à ANPD e ao titular. Para tanto, sugere-se responder internamente às seguintes perguntas:

1.            Ocorreu um incidente de segurança relacionado a dados pessoais?

☐Sim – Próxima pergunta.

☐Não – Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.

2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?

☐Sim – Comunique à ANPD e ao titular.

☐Não – A comunicação à ANPD ​​não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.

Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

A LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), conforme será definido pela ANPD. Embora não tenha havido regulamentação nesse sentido, a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização.

Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

Tal interregno foi estabelecido com parâmetro na definição de comunicação já existente no Decreto nº 9936/2019 e em virtude da necessidade de gerenciamento dos incidentes de segurança de dados pessoais por parte da ANPD e das consequências danosas que podem ocorrer em razão do atraso nas ações de contenção ou mitigação.

Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

Preencha o formulário eletrônico disponível no site e envie por meio de Peticionamento Eletrônico – Usuário Externo. Para maiores informações sobre o envio acesse: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.

Mais informações podem ser encontradas em Autoridade Nacional de Proteção de Dados

 

Fonte: Gov.br

 

Veja também:

 
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Etapas e estruturas de resposta a incidentes para SANS e NIST
  2. Etapas e estruturas de resposta a incidentes para SANS e NIST – Neotel Segurança Digital
  3. Resolução BACEN 4893 substitui 4658 - Veja o que muda!

Deixe sua opinião!