Bom Dia LGPD

Incidente: Comunicar ou não?

Fernando Nery
Fernando Nery
Sócio da Módulo

Já tratamos este assunto outras vezes, mas temos novidades.


A LGPD define que deve ser comunicado à ANPD o incidente de segurança com dados pessoais que possa acarretar risco ou dano relevante aos titulares (Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.). Na semana passada a ANPD publicou o Regulamento de Comunicação de Incidente de Segurança (link no comentário) que define o método para definir se o incidente pode acarretar risco ou dano relevante. Em termos gerais a sequência após receber a notificação é:


  1. Definir se é um incidente (em caso de dúvida, considerar sim);
  2. Identificar se o incidente envolve dados pessoais(em caso de dúvida, considerar sim);
  3. Avaliar se o incidente pode acarretar risco ou dano relevante ao titular:
  • Caso sim: deve ser preenchido o formulário da ANPD e encaminhado à ANPD no prazo de 3 dias úteis (contados a partir do momento que tomou conhecimento);
  • Caso não: o incidente deve ser documentado e seu registro deve ser guardado por no mínimo cinco anos (atenção!).

Em ambos os casos o ciclo do incidente deve ter o seu ciclo completado e documentado.

A ANPD disponibiliza um formulário que deve ser preenchido:



No dia a dia é comum o receio de comunicar o incidente à ANPD. Vejo casos que a decisão de comunicar acaba sendo tomada como uma maneira de evitar até que a avaliação e comunicação seja feita; acho bastante arriscado. A decisão deve ser tomada no mínimo após uma análise, a partir daí a decisão é discricionária e conforme os objetivos de negócio, ou seja, comunicar ou não é uma decisão de negócio, mas precisa ser embasada com informações corretas, inclusive considerando a necessidade de guardar os dados por cinco anos, e o impacto de não comunicar.


A AEPD - Agencia Española de Protección de Datos tem um aplicativo (link no comentário) que ajuda a avaliação se o incidente deve ser comunicado ou não. (este modelo não é compatível com a LGPD)


Sinceramente não sei se o regulador disponibilizar uma ferramenta, ajuda ou atrapalha o processo de decisão ou de comunicação, mas parece muito bom para fazer exercícios.


Esta aplicação possui uma sequência de perguntas.




... e após as respostas, recomenda ou não a comunicação.




A AEPD disponibiliza também um template a ser preenchido (mas o da ANPD é mais bonito, completo e funcional :)


A LGPD exige a comunicação e a resposta aos incidentes, mas para chegar a elas é necessário implementar o ciclo completo de gestão de incidentes, a norma ISO 27035 é um bom caminho.


Obrigado,


Aquele abraço,


FNery

(Art 48) Gestão de Incidentes e Monitoramento
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato