Bom Dia LGPD

Hoje: Audiência Pública da ANPD sobre Comunicação de Incidentes

#bomdialgpd


Hoje a ANPD realizará a "Audiência Pública - Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais" na qual receberá sugestões para a regulamentação da comunicação de incidentes. (link da audiência e da minuta do regulamento nos comentários) Com certeza as organizações terão que atualizar a conformidade com a LGPD pois este documento traz algumas novidade e define como deve ser feita a gestão de incidentes, alguns pontos de destaque deste novo documento:


  • Define quando o incidente deve ser comunicado (entendo que a definição está um pouco ampla);
  • Dá relevância aos dados pessoais financeiros e de autenticação;
  • Define termos importantes para a categorização dos incidentes;
  • Define o prazo de três dias para a comunicação à ANPD e ao Titular (quando for o caso), as informações que devem ser fornecidas e os procedimentos a serem adotados;
  • Define o "Relatório de Tratamento de Incidente" (interessante pois a LGPD tem como requisitos a comunicação e resposta a incidentes, mas estas fases uma parte da gestão de incidentes; as definições da ANPD remetem para um modelo mais amplo que o exigido na lei e apontam para a implementação de gestão de incidentes - acho bom);
  • Define que o controlador deve manter o registro dos incidentes de segurança com dados pessoais, mesmo os não comunicados à ANPD, por pelo menos cinco anos;
  • Define o processo da ANPD;
  • Inclui a possível determinação da ANPD para que o incidente seja amplamente comunicado.


Me inscrevi para falas amanhã na Audiência Pública e devo apresentar contribuições sobre:


  • O fato de incluir dados pessoais de idosos amplia o escopo dos incidentes a quase 100 das operações de tratamento, uma vez que praticamente todas as fontes de dados pessoais de adultos têm dados pessoais de idosos;
  • A necessidade futura de definir melhor os termos e expressões que definam grandeza como dados em "larga escala", "número significativo" e "extensão geográfica";
  • Definir apenas uma expressão que represente o objeto da proteção de dados pessoais, uma vez que existem termos e expressões diferentes que a princípio significam a mesma coisa como "atividade de tratamento", "operação de tratamento", "processo de tratamento" e "tratamento", dentre outras;
  • Definir o que significa a expressão "pessoa sem legitimidade", me parece que possibilita diferentes interpretações;
  • Fortalecer o conceito de CIDA (Confidencialidade, Integridade, Disponibilidade e Autenticidade),uma vez que o formulário apresenta o CID;
  • Possibilitar o cadastro dos incidentes utilizando o Gov.BR;
  • Futuramente disponibilizar um webservice para que as organizações possam fazer suas comunicações diretamente.


A minuta do regulamento mostra definitivamente que a gestão de incidentes de segurança com dados pessoais é ao mesmo tempo distinta e colaborativa com a gestão de incidentes de TI, segurança cibernética e da informação. As equipes de conformidade com a LGPD devem estar atentas a estes movimentos de regulamentação pois ele define requisitos importantes e que trazem impacto na gestão e governança da proteção de dados pessoais e privacidade.


Obrigado,


Abraço,


FNery.


Descrição da imagem no DALL-E: "A executiva equilibrava-se precariamente na corda bamba, vestida com traje formal e segurando um notebook e um celular, retratada em um estilo de arte digital moderna."



Comentários: Consulta Pública ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais: https://www.gov.br/participamaisbrasil/regulamento-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais#:~:text=Aplicam%2Dse%20ao%20processo%20de,de%2028%20de%20outubro%20de


Link da transmissão da audiência pública: https://www.youtube.com/watch?v=5KCIVpnmnsA

(Art 48) Gestão de Incidentes e Monitoramento
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato