O que deve ser feito em caso de incidente de dados pessoais na LGPD?

Resposta

Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento.

Índice Show

Referências
O que deve ser feito em caso de incidente de dados pessoais LGPD?
Quando ocorrer um incidente segurança com dados pessoais devo comunicar?
Como é o tratamento de dados na LGPD?
Quem o controlador deve informar em caso de incidente de segurança LGPD?

Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).

Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.

Exemplos

A organização deve notificar a APD e as pessoas
Os dados dos trabalhadores de uma empresa têxtil foram divulgados. Incluem os seus endereços pessoais, a composição do agregado familiar, o salário mensal e os pedidos de reembolso de despesas médicas de todos os trabalhadores. Neste caso, a empresa têxtil tem de informar a autoridade de controlo sobre a violação. Uma vez que os dados pessoais incluem dados sensíveis, incluindo dados de saúde, a empresa tem de notificar também os trabalhadores.

Um trabalhador de um hospital decide copiar os dados dos doentes para um CD e publicá-los em linha. O hospital descobre o que aconteceu alguns dias depois. Assim que o hospital toma conhecimento do sucedido, tem 72 horas para informar a autoridade de controlo e, uma vez que os dados pessoais em causa contêm informações sensíveis, nomeadamente se um doente tem cancro, se uma mulher está grávida, etc., tem de informar também os doentes. Neste caso, existe a dúvida sobre se o hospital aplicou medidas de proteção técnicas e organizativas adequadas. Caso tivesse aplicado medidas de proteção adequadas (por exemplo, cifragem de dados), a existência de um risco material seria improvável e o hospital poderia isentar-se da obrigação de notificar os doentes.

A empresa deve notificar os clientes e estes poderão, por sua vez, ter de notificar a APD e o titular dos dados
Um serviço em nuvem perde vários discos rígidos que contêm dados pessoais pertencentes a vários dos seus clientes. Tem de notificar esses clientes assim que tome conhecimento da violação. Os seus clientes têm de notificar a APD e o titular dos dados, consoante os dados que tenham sido tratados pelo subcontratante.

Referências

Orientações do CEPD sobre a notificação de uma violação de dados pessoais ao abrigo do Regulamento (UE) 2016/679
Artigo 4.º, n.º 12, e artigos 33.º e 34.º; considerandos 85-88 do RGPD

Tive um incidente de segurança da informação, e agora?

Um incidente de segurança pode ocorrer com qualquer indivíduo, por isso, é importante saber qual procedimento seguir quando essa situação ocorre.
Com a entrada da LGPD (Lei Geral de Proteção de Dados) em agosto de 2020, a comunicação da ocorrência de incidentes de segurança com dados pessoais pode tornar-se obrigatória, sendo a ANPD (Autoridade Nacional de Proteção de Dados) o órgão que fiscaliza o cumprimento dessa Lei.
De acordo com a Lei de Dados, os incidentes de segurança da informação que devem ser reportados à ANPD são situações onde dados pessoais sofrem evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança destes dados, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada.
O Art. 47 da LGPD cita que “Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término”.
Por outro lado, o Art. 48 orienta que “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência do incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
Estes artigos da LGPD deixam bem claro que a responsabilidade sobre a proteção dos dados pessoais e a comunicação de incidentes é do controlador destas informações.

Mas, afinal, o que fazer quando ocorre um incidente com dados pessoais?

• Analisar o incidente de segurança, isto é, que dados foram afetados, quantidade de dados, ações de proteção que eram empregadas para esses dados e consequências do incidente;

• Comunicar ao encarregado de dados (DPO);

• Comunicar ao controlador, se for o operador destes dados;

• Comunicar à ANPD e ao titular de dados;

• Por fim, elaborar um documento de avaliação interna do incidente, medidas tomadas e análise de risco.

A LGPD define como o prazo para essa comunicação o termo “prazo razoável”, porém até a criação de uma regulamentação oficial, a própria ANPD orienta em seu site oficial que este prazo seja de 2 dias úteis, contados a partir da data do conhecimento do incidente.
Então, sempre de ocorrer um incidente de segurança com dados pessoais que possam acarretar riscos ou danos aos seus titulares, esta ocasião deve ser comunicada à Autoridade Nacional de Proteção de Dados e aos seus titulares.
A ANPD criou um formulário para comunicação de incidentes de segurança que pode ser acessado aqui.
Além disso, o documento preenchido deve ser enviado através do peticionamento eletrônico no site da ANPD. Também é importante lembrar que, para evitar riscos com incidentes de segurança, a gestão de contratos da empresa precisa ter processos robustos e padronizados.

Continue acompanhando nosso blog para conferir todas as atualizações e notícias sobre a segurança de dados na internet. Não deixe de conhecer nossos serviços! Acesse aqui e reduza os riscos de invasão no seu negócio.

O que deve ser feito em caso de incidente de dados pessoais LGPD?

Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Artigo 48 da LGPD). Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art.

Quando ocorrer um incidente segurança com dados pessoais devo comunicar?

O dever de notificação dos incidentes de segurança com dados pessoais. O art. 48 da LGPD traz uma obrigação clara ao controlador, qual seja, o dever de comunicar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados.

Como é o tratamento de dados na LGPD?

No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador. O controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Quem o controlador deve informar em caso de incidente de segurança LGPD?

A LGPD estabelece, em seu artigo 48, a obrigatoriedade de o controlador notificar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.