Bom Dia LGPD

Comunicar o incidente ou não?

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd


"Corre-corre-corre"
Corre-corre, Rita Lee


Um dos aspectos mais importantes e impactantes da LGPD é a exigência de comunicação de incidentes com dados pessoais "que possa acarretar risco ou dano relevante aos titulares". O assunto está presente timidamente no artigo 48, e é desdobrado em orientações da ANPD e um formulário padronizado. Essencialmente a LGPD exige a comunicação (artigo 48) e a resposta do incidente (artigo 52) que são uma parte de um processo de gestão de incidentes.


Para atender a LGPD é necessário que o controlador implemente um processo de gestão de incidentes com dados pessoais, o que é diferente de gerenciar incidentes cibernéticos ou de TI.


A exigência de comunicação de incidentes com dados pessoais (sejam cibernéticos ou não) vai além da LGPD, a regulamentação de agências como Banco Central, CVM, e Procon exigem a comunicação de incidentes por parte de seus regulados. Se sairmos do mundo cibernético, há exigência de comunicação de incidentes por parte de reguladores como ANP, Anatel, ANEEL, IBAMA, ANA, ANM e outras.


O ponto mais sensível é a decisão de comunicar ou não de um incidente à ANPD e aos Titulares. Como decidir? Comunicar ou não? O prazo é curto!


Comparando o número conhecido de incidentes com os números de registro na ANPD podem levar à conclusão de que há subnotificação.


Comunicar ou não é uma decisão baseada nas exigências legais e regulatórias, mas também é uma decisão de negócios. Um processo de gestão de riscos ajuda a tratar todo o ciclo do incidente, e é importante para embasar e documentar o processo decisório.


A AEDP, regulador da Espanha, publicou um infográfico sobre o processo de decisão de comunicação. (link no comentário)



Está na agenda regulatória da ANPD publicar em breve o novo regulamento de comunicação de incidentes, os controladores precisam estar atentos com as novas exigências e prazos.


Obrigado,


Aquele abraço,


FNery


Prompt do DALL-E 3: "An image of high quality and rich detail depicting a fire truck rushing to attend an emergency within a bustling large city, showcasing the urgency and dynamism of first responders in action."


Comentário: AEDP Ante una brecha de datos personales, ¿cuándo y cómo se debe comunicar a los afectados? (art. 34 RGPD) - https://www.aepd.es/infografias/comunicar-brecha-datos-personales.pdf

(Art 48) Gestão de Incidentes e Monitoramento
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato