ARTIGOS

A comunicação de incidentes de segurança com dados pessoais

25/06/2021 - José Fernando Marucci - OAB/PR 24.483

A Autoridade Nacional de Proteção de Dados – ANPD publicou orientações sobre a avaliação e de incidentes de segurança com dados pessoais e a sua comunicação para própria autoridade e para os titulares vide artigo.

Para que seja possível comunicar um incidente de segurança com dados pessoais, faz-se necessário que a organização tenha uma gestão dos incidentes de segurança, caso contrário, não conseguirá identificar se o incidente de segurança envolve ou não dados pessoais.

E como ter uma gestão dos incidentes de segurança?

A ISO 27.002, no seu item 16, determina como deve ser realizada a gestão dos incidentes de segurança, estabelecendo itens de controle e diretrizes para implementação, tais como:

a) estabelecer responsáveis e preparar os funcionários na detecção de deficiências na segurança da informação;

b) estabelecer métodos para relatar os incidentes;

c) orientar funcionários para notificarem fragilidades da segurança da informação;

d) avaliar os incidentes de segurança da informação;

e) os incidentes de segurança sejam reportados e documentados;

f) utilizar os incidentes para melhorias futuras;

g) coletar evidências.

Com uma gestão eficiente dos incidentes de segurança será possível avaliar e identificar os incidentes de segurança que envolvam dados pessoais e comunicar a ANPD e os titulares, se for o caso.

A própria ANPD dispõe que “um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais.”

Primeiro ponto de atenção: “confirmado ou sob suspeita”. A mera suspeita da violação de dados pessoais deve ser comunicada, o que afasta a necessidade da efetiva confirmação da violação de dados pessoais.

A ANPD orienta ainda que: “Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.” E mais, diz que a “eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.”

Segundo ponto de atenção: “na dúvida” e “subavaliação”. Se houver dúvida que há riscos para os titulares, deve-se comunicar a ANPD, sabendo-se que se houver subavaliação será considerado descumprimento da legislação de proteção de dados.

No que se refere a comunicação para os titulares (pessoa natural a quem se referem os dados pessoais que são objeto de tratamento) a ANPD recomenda: “Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.”

Terceiro ponto de atenção: “possa acarretar”. Não é necessário um dano, a mera possibilidade de um risco ou dano relevante deve ser comunicado ao titular.

A ANPD apresenta um formulário para ser preenchido, para que seja realizada a comunicação. Orienta ainda, que a comunicação seja realizada no prazo de 2 (dois) dias.

Diante deste cenário, torna-se imprescindível a implementação da gestão dos incidentes de segurança, nos termos do item 16, da ISO 27.002, para que seja possível identificar e avaliar os incidentes de segurança, que envolvam dados pessoais, confirmados ou sob suspeita, que possam acarretar risco ou dano relevante ao titular de dado, comunicando-se mesmo na dúvida e no prazo de 2 (dois) dias.

< Ver todos os artigos