Quando Comunicar um Incidente de Dados Pessoais à ANPD?
A proteção de dados pessoais é uma prioridade para empresas que lidam com informações sensíveis de clientes e colaboradores. No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece regras claras sobre como as organizações devem tratar esses dados e como proceder em caso de vazamento ou incidente de segurança. Mas quando é necessário comunicar um incidente de dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD)? O que é um incidente de dados pessoais? Um incidente de dados pessoais ocorre quando há comprometimento da segurança de informações protegidas, resultando em acesso, destruição, perda, alteração ou divulgação não autorizada. Isso pode acontecer por diversos motivos, como ataques cibernéticos, falhas humanas ou erros nos sistemas de armazenamento e processamento de dados. Quando comunicar um incidente de dados pessoais? De acordo com a LGPD, nem todo incidente precisa ser comunicado à ANPD. A comunicação se torna obrigatória quando o incidente envolver riscos ou danos relevantes aos titulares dos dados. Os principais critérios para essa avaliação incluem: Como comunicar um vazamento de dados à ANPD? Caso um incidente atenda aos critérios acima, a empresa deve comunicar a ANPD o mais rápido possível. O processo envolve as seguintes etapas: Comunicação aos titulares dos dados – Dependendo da gravidade do incidente, a empresa também pode ser obrigada a informar diretamente os titulares sobre o vazamento e as medidas adotadas. Identificação do incidente – Assim que a empresa tomar conhecimento da ocorrência, deve iniciar uma investigação interna para entender a causa e o impacto do problema. Adoção de medidas para mitigação de danos – Antes da comunicação à ANPD, é essencial que a organização implemente ações para minimizar os impactos do vazamento de dados. Elaboração do relatório de incidente – A comunicação à ANPD deve conter informações como: Envio da notificação à ANPD – A notificação pode ser feita por meio do formulário disponibilizado pela própria Autoridade Nacional de Proteção de Dados. Quem deve comunicar o incidente? A responsabilidade pela comunicação do incidente é do controlador dos dados, ou seja, a organização que determina a finalidade e os meios do tratamento das informações pessoais. Cabe a ele avaliar a gravidade do incidente e notificar tanto a ANPD quanto os titulares dos dados afetados, se necessário. Caso o incidente ocorra em um operador de dados – ou seja, um fornecedor ou parceiro que processa dados em nome do controlador –, ele deve comunicar o evento imediatamente ao controlador, para que este avalie a necessidade de notificação à ANPD. O operador não tem a obrigação direta de comunicar o incidente à autoridade, mas sua colaboração é fundamental para mitigar os impactos. Em seu site, a Autoridade Nacional de Proteção de Dados disponibiliza o seguinte diagrama referente a comunicação de incidentes: Consequências da não comunicação de um incidente O descumprimento das diretrizes da LGPD pode resultar em sanções aplicadas pela ANPD, incluindo: Como prevenir incidentes de dados pessoais? A melhor maneira de evitar a necessidade de comunicar incidentes à ANPD é implementar boas práticas de segurança da informação, como: Conclusão A comunicação de um incidente envolvendo dados pessoais à ANPD é uma obrigação legal que deve ser cumprida sempre que houver riscos significativos para os titulares dos dados. Empresas que adotam medidas preventivas e seguem as diretrizes da LGPD minimizam os impactos de vazamentos e garantem mais segurança para seus clientes e colaboradores. Manter um plano de resposta a incidentes e contar com um canal de comunicação eficiente são passos fundamentais para agir rapidamente diante de qualquer ocorrência e evitar sanções regulatórias.