Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, em setembro de 2020, empresas de pequeno, médio e grande porte precisam se atentar para adequar suas atividades de tratamento de dados pessoais dos titulares. Em casos de não cumprimento da lei, algumas medidas de sancionamento podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), o órgão responsável por fiscalizar e punir as empresas (agentes de tratamento) quando necessário.
É importante destacar que esses agentes de tratamento podem ser divididos em duas categorias: controladores ou operadores. Em linhas gerais, os controladores são aqueles que possuem o poder de decisão sobre a atividade de tratamento de dados, e escolhem, inclusive, sobre a possibilidade de contratação de uma empresa terceira, chamada de operador. Os operadores têm uma atuação limitada às orientações dos controladores (normalmente indicada nos contratos de prestação de serviços ou acordos de tratamento de dados) e das normas previstas na LGPD e regulamentos específicos.
Para os casos de incidentes de segurança é necessário entender como realizar o reporte adequado para a ANPD a fim de que ações de fiscalização e controle possam ser tomadas. Saiba detalhadamente como se portar e quem deve realizar esse procedimento.
Identificando uma infração à Lei nº 13.709/2018
De acordo com a definição da ANPD, uma infração a LGPD pode ser vista quando a segurança das informações pessoais é violada de alguma maneira, fazendo com que os dados fiquem expostos e suscetíveis a alterações ou vazamentos, afetando a confidencialidade, integridade ou disponibilidade, por exemplo. Desta forma, pode-se concluir que é qualquer ação que seja contrária ao objetivo principal da Lei, o de assegurar que a liberdade pessoal e a privacidade dos titulares sejam mantidas.
Ao identificar o descumprimento da LGPD, mesmo que ele seja feito pelos operadores, cabe aos controladores o dever de reportar para a ANPD e para o titular dos dados, sobre o ocorrido, sempre que o incidente acarretar em elevado risco para a segurança das informações e dados pessoais envolvidos.
A maneira correta de reportar os casos
Porém, antes do reporte deve haver a identificação do tipo de infração. Segundo o informado pelo site da ANPD, a avaliação interna do caso deve considerar “a natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.” Ainda que casos de ciberataques sejam os mais lembrados quando falamos de incidentes de segurança é importante que haja identificação do caso existente, se é um incidente que viola a integridade e confidencialidade dos dados, por exemplo.
Ainda que a entidade não tenha certeza que o caso viole as normas da LGPD é importante que seja feita a comunicação ao órgão fiscalizador. Outras informações relevantes também são recomendadas de serem apresentadas como: data do conhecimento do incidente, resumo do ocorrido, medidas de prevenção usadas pela empresa controladora, entre outros tópicos. No art. 48, § 1º da LGPD, também há definição do prazo para a comunicação da ocorrência que deve ser feita o mais rápido possível depois de seu conhecimento. A ANPD tem considerado o prazo máximo de 2 dias úteis para este aviso.
É válido ressaltar que para conseguir lidar com situações como essa a empresa precisa estar por dentro de todas as normas da LGPD e já ter adequado seu negócio a ela. Caso ainda não tenha implementado um projeto de adequação, obter todas estas informações pode se tornar muito difícil para que o Encarregado pela Proteção de Dados (também conhecido como DPO – Data Protection Officer) possa realizar a avaliação dos riscos e comunicação do incidente.
Ainda assim, dúvidas sobre o processo ainda podem surgir e para isso é recomendado que a instituição tenha o suporte de um time especializado que vai garantir a conclusão de todas as etapas.
- Fonte: LGPDBrasil.com.br
- Imagem: Freepik
- 06 de maio de 2022