Muitas vezes, mesmo após a avaliação mostrar que é necessário comunicar, a organização resolve não fazer a comunicação por receio de se prejudicado. Entendo que a linha de raciocínio deveria ser o contrário: avaliar o risco de não comunicar, uma vez que uma organização - e um encarregado - tomando conhecimento de um incidente, avaliando a obrigação de comunicar e não realizando, acaba por cometer uma negligência, e caso este incidente futuramente seja denunciado à ANPD ou tenha outra consequência, o problema pode se agravar.

Entendo que caso a organização chegue à conclusão que há necessidade de comunicação, esta deve ser feita, tomando os devidos cuidados de sigilo. Sempre é importante lembrar que se não for o caso de comunicar à ANPD, o incidente e suas informações básicas precisam ficar armazenadas por 5 anos.

A AEPD, regulador da Espanha, disponibiliza uma ferramenta de apoio à decisão para a comunicação (link no comentário. Esta ferramenta segue a legislação espanhola e européia, no Brasil deve ser utilizada para fins didáticos e não para decisão de comunicação). No final é sugerida a necessidade de comunicar conforme os parâmetros passados.

Noto que há uma grande subnotificação de incidentes com dados pessoais, e muitas organizações e encarregados optam por esconder sua ocorrência, mas esta decisão pode ter efeito contrário.

Obrigado,

Aquele abraço,

FNery.

Comentários: AEPD - Comunica-Brecha RGPD: https://www.aepd.es/guias-y-herramientas/herramientas/comunica-brecha-rgpd