Nesta sexta a ANPD divulgou o seu primeiro Relatório de Ciclo de Monitoramento referente ao ano de 2022 (link nos comentários) que tem como objetivo "avaliar, prestar contas e planejar suas atividades de fiscalização".
A leitura atenta do relatório traz importes aspectos na gestão de incidentes (A LGPD solicita comunicação e respostas à incidentes mas para chegar neles é necessário ter um modelo de gestão de incidentes):
- Possíveis incidentes de segurança com dados pessoais são uma das principais denúncias encaminhadas à ANPD (84 denúncias em 2022);
- Em 2022 foram instaurados 8 oito processos administrativos sancionadores, destes, 7 têm como "Motivo da Instauração" a não comunicação de incidente de segurança à ANPD ou aos Titulares;
- Em 2022 a ANPD recebeu 473 comunicados de incidentes, o que é considerado baixo se comparado ao ICO do Reino Unido (mais de 2mil no mesmo período) e o CNIL da França (com 2825), o que levanta a possibilidade de haver subnotificação;
- Para estar em dia com as análises, a autoridade prevê um "plano de ação com vistas a reduzir o estoque de comunicados de incidentes de segurança ainda não analisados" uma vez que "até o momento, menos de 10% dos incidentes comunicados tiveram sua análise finalizada";
A ANPD disponibiliza instrumentos importantes para :
- Há um formulário padrão (link no comentário) para a comunicação de incidentes, considerando o prazo de dois dias, é importante que sua organização conheça e faça exercícios com este formulário para que conheça os atributos e possa informar com melhor precisão;
- O canal de comunicação é o Super - Sistema Único de Processo Eletrônico em Rede, sua organização deve providenciar um login para estar pronta e não precisar correr atras do cadastro caso seja necessário comunicar um incidente;
- Para realizar a comunicação, a ANPD solicita comprovação de representatividade do autor que também é importante estar pronta. ("A documentação comprobatória da legitimidade para representação do controlador junto à ANPD deve ser protocolada em conjunto com o formulário de comunicação de incidente. Exemplos: Encarregado: ato de designação/nomeação/procuração. Representante: ato constitutivo (contrato/estatuto social) e procuração, se cabível.");
- A ANPD divulgou a "Minuta do Regulamento de Comunicação de Incidentes de Segurança" (link no comentário) e realizou consulta pública e audiência pública; em breve teremos o regulamento oficial. Boa parte do modelo de comunicação de incidentes está definida nesta minuta.
A transparência e comunicação da ANPD ajuda aos agentes de tratamento a se organizarem para a comunicação de incidentes, incidente é um dos principais assuntos da conformidade com a LGPD, o processo de gestão de incidentes deve estar bem preparado, inclusive a "Minuta do Regulamento de Comunicação de Incidentes de Segurança" indica que mesmo os incidentes não comunicados devem ficar registrados por cinco anos.
Boa semana,
Obrigado,
Abraço,
FNery
Descrição da imagem no Dall-e: "Draw a sophisticated fire truck in motion on a wide avenue of a modern city. hyperrealistic, futuristic, 3d render, digital art"
Minuta do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais: https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais
Comunicação de incidente de segurança ANPD: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis
Relatório do Ciclo de Monitoramento da ANPD: https://www.gov.br/anpd/pt-br/assuntos/noticias/publicado-relatorio-do-ciclo-de-monitoramento-da-anpd
