ANPD marca audiência pública sobre comunicação de incidentes
Inscrição está aberta para comentários e sugestões durante audiência; contribuições com minuta sobre Regulamento de Comunicação de Incidente de Segurança podem ser feitas até o fim deste mêsBy - Liliane Nakagawa, 7 maio 2023 às 15:33
A Autoridade Nacional de Proteção de Dados (ANPD) marcou para 23 de maio a data da audiência pública para debater a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.
O Regulamento de Comunicação está entre as exigências previstas na Lei 13.709/18 (Lei Geral de Proteção de Dados (LGPD)) e deve obrigar o controlador de dados a informar à autarquia e ao titular dos dados, em caso de risco e dano aos atingidos pelo vazamento.
Para se inscrever no debate oral, os interessados em participar com comentários e sugestões devem preencher o formulário da ANPD, entre 4 e 12 de maio de 2023.
A sessão, que é aberta ao público geral, vai ser transmitida na terça-feira (23) via canal da ANPD no YouTube.
Consulta pública sobre minuta sobre Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais
Na terça-feira (2), a ANPD abriu uma consulta pública sobre a minuta desta resolução, que prevê a comunicação dos incidentes até três dias — contados a partir do conhecimento do controlador de dados — à autarquia e ao titular dos dados afetado.
Além disso, o documento descreve os casos em que a ANPD vai enquadrar a obrigatoriedade da comunicação. De acordo com o órgão, quando o houver potencial de afetar significativamente interesses e direitos fundamentais dos titulares, os quais possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade; e envolver pelo menos um dos seguintes critérios:
- dados sensíveis;
- dados de crianças, de adolescentes ou de idosos;
- dados financeiros;
- dados de autenticação em sistemas;
- dados em larga escala.
Quanto aos incidentes de “larga escala”, a proposta indica que serão considerados os que “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares
Para o registro do incidente, será solicitado, no mínimo, data de conhecimento, descrição geral, natureza e categoria dos dados afetados, número de titulares afetados, avaliação de risco sobre os possíveis danos aos titulares, medidas de mitigação e correção dos efeitos, além de informações sobre a comunicação.
Tal comunicação deverá ser realizada por formulário eletrônico disponibilizado pela ANPD, o qual incluirá 13 tipos de informações:
I – a descrição da natureza e da categoria de dados pessoais afetados;
II – o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
III – as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;
IV – os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
V – os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
VII – a data e a hora do conhecimento do incidente de segurança;
VIII – os dados do encarregado, quando aplicável, ou do comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;
IX – os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;
X – as informações sobre o operador, quando aplicável;
XI – a declaração de que foi realizada a comunicação aos titulares, nos termos do art. 10 deste Regulamento;
XII – a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
XIII – o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.
Quanto à comunicação ao titular dos dados pessoais, as informações devem fazer uso de linguagem simples e de fácil entendimento e, se possível, ocorrer de forma direta e individualizada. E devem trazer as seguintes informações:
I – a descrição da natureza e da categoria de dados pessoais afetados;
II – os riscos ou impactos ao titular;
III – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
IV – a data do conhecimento do incidente de segurança; e
V – o contato para obtenção de informações e dados do encarregado, quando aplicável.
A consulta vai receber contribuições até 31 de maio, por meio da plataforma Participa Mais Brasil.
Comentários