Recentemente a Autoridade de Proteção de Dados (ANPD) divulgou um novo formulário para o envio de Comunicados de Incidentes de Segurança, oferecendo um formulário mais detalhado para ser usado nas comunicações formais de incidentes relacionados ao tratamento de dados pessoais. Essa é uma ótima oportunidade para conhecermos qual é o processo adotado pela ANPD para realizar essas notificações.
Segundo o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709 de 14 de Agosto de 2018), a ocorrência de incidente de segurança da informação que impacte os dados pessoais deve ser notificada à ANPD e ao usuário titular do dado, em prazo razoável.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A página Comunicação de incidente de segurança. disponível no site da ANPD, detalha como deve ser feito esse processo. Mas, de uma forma resumida, a comunicação de um incidente para a ANPD deve ser feita da seguinte forma:
- A comunicação de incidentes de segurança à ANPD deve ser realizada pelo encarregado pela proteção de dados (DPO) ou por um representante legalmente constituído do controlador de dados;
- Deve ser feito o preenchimento do Formulário de Comunicação de Incidente de Segurança com Dados Pessoais disponibilizado no site da ANPD;
- O formulário é beeem grandinho, e solicita informações sobre a empresa e sobre o incidente
- É possível fazer a comunicação "Completa "(com todas as informações a respeito do incidente, aonde a comunicação aos titulares já foi realizada), "Preliminar"(quando nem todas as informações sobre o incidente estão disponíveis ou se a comunicação aos titulares ainda não foi realizada) ou de forma "Complementar" (após a comunicação preliminar);
- Dentre as diversas informações exigidas, deve ser detalhado como a empresa tomou ciência do incidente, como e quando do foi feita sua comunicação para as autoridades e titulares, qual o tipo de incidente e seu impacto (informando quais dados pessoais foram violados, como e qual o risco), além de quais as medidas de segurança existentes no momento do incidente e quais foram adotadas após o incidente.
- O formulário deve ser protocolado eletronicamente por meio do sistema de Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
- Durante o protocolo, selecione o tipo de processo “ANPD – Comunicados de Incidentes à Autoridade Nacional de Proteção de Dados”.
- Junte ao processo o formulário preenchido, preferencialmente em formato PDF, e os documentos complementares, tais como ato de designação do encarregado, procuração ou contrato social.
- Após a finalização, um Recibo Eletrônico de Protocolo será gerado automaticamente pelo sistema e incluído no processo.
Vale a pena baixar o formulário e entender que informações são exigidas pela ANPD, em caso de incidentes. Isso é útil até mesmo para, preventivamente, revisar seu plano e seu processo de resposta a incidentes. Também serve de subsídios para avaliar quais controles de segurança sua empresa possui, pois eles serão cobrados em caso de incidentes.
Para saber mais:
- Comunicação de incidente de segurança
- Coordenação-Geral de Fiscalização da ANPD divulga novo formulário para envio de Comunicados de Incidentes de Segurança (23/12/22)
- Formulário para comunicação de ocorrências de Incidentes de Segurança envolvendo dados pessoais (Minuto da Segurança)
- Veja também: ANPD divulga nova página para o envio de denúncias e petições de titulares (ANPD, 24/04/2023)
Nenhum comentário:
Postar um comentário