A partir de 1o de janeiro de 2023 os controladores de dados terão acesso a um formulário de comunicação à ANPD de incidentes de segurança com dados pessoais ocorridos na empresa.
Você pode estar pensando então, ah ok, que ótimo, mas o que eu tenho que comunicar? Se um funcionário não picotou um papel antes de jogar no lixo eu tenho que comunicar? Ou só se pegou fogo no meu servidor?
A própria página da ANPD esclarece isso para você.
Primeiro você só vai fazer o preenchimento deste formulário se o incidente ocorreu com dados que você trata como controlador, ou seja, se você for operador dos dados envolvidos no incidente, independente do que aconteceu, você vai reportar para o contratante controlador dos dados.
Ok, digamos então que você é controlador dos dados, o incidente deverá ser comunicado se você atender cumulativamente a 3 critérios:
1. o incidente de fato aconteceu, não foi um alarme falso;
2. os dados envolvidos no incidente era dados pessoais previstos na LGPD, ou seja, dados que identificam ou tornam uma pessoa identificável, incluindo também dados sensíveis;
3. esses dados, uma vez na mão de terceiros, acarretam riscos ou danos relevantes aos titulares.
A ANPD divulga ainda alguns exemplos de o que seriam esses incidentes comunicáveis, vejam só:
A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais.
A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde.
A perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares pode expô-los a riscos reputacionais e de sofrer fraudes financeiras.
Não esqueça que você tem 2 dias úteis a contar da ciência do fato para fazer o envio do formulário. O envio do formulário é feito via peticionamento eletrônico super.br que envolve alguns cadastros prévios para ser feito caso o seu encarregado de dados já não tenha feito o cadastro não se enrole, pois a aprovação deste pode levar mais do que dois dias úteis.
Ficou com dúvidas sobre essa comunicação de incidente? Então não fique. Clique no botão de WhatsApp da nossa página e entre em contato com um de nossos advogados.
Comments