A Lei Geral de Proteção de Dados (LGPD) se tornou pauta de empresas que trabalham com informações e dados. A nova legislação exige adequação imediata e aplica-se para a maioria dos setores que utilizam os dados pessoais de seus clientes.
Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou um novo procedimento a ser realizado pelas empresas caso haja vazamento de dados pessoais. As orientações foram disponibilizadas no site da instituição com um formulário que deverá ser preenchido diante de qualquer problema. O documento servirá como um guia e poderá ser consultado publicamente.
Os dados vazaram, e agora?
Se os dados pessoais coletados pela empresa sofreram qualquer tipo de violação, como acesso ilícito, não autorizado ou acidental, resultando em tratamento inadequado, alterações e que possa ocasionar riscos para os titulares, pode ser considerado um incidente de segurança e deve ser reportado imediatamente à ANPD.
Sendo inclusive recomendado que se adote uma posição de cautela, isto é, mesmo que se tenha dúvida sobre a gravidade do fato ocorrido, a comunicação deve ser feita, pois é previsto que a subavaliação dos riscos por parte dos controladores pode ser considerada um descumprimento à legislação da LGPD.
A partir da constatação do incidente de segurança, aconselha-se que o responsável pelo tratamento de dados siga os seguintes passos:
– Avalie a natureza do incidente: quantos titulares foram afetados, quais os dados comprometidos e quais serão as consequências prováveis do vazamento;
– Comunique imediatamente todos os envolvidos no tratamento de dados pessoais;
– Entre em contato com a ANPD para informar sobre o ocorrido. A instituição pede que isso seja realizado em um prazo de dois dias após o conhecimento do incidente;
– Comunique os titulares dos dados;
– Documente o acontecido e as medidas tomadas para análise de risco.
A comunicação deve ser feita por peticionamento no site da Secretaria Geral da Presidência da República.
O prazo
A legislação da LGPD prevê que a comunicação do incidente seja feita em tempo razoável. Apesar da legislação não estipular uma regulamentação sobre o prazo, é compreendido que o quanto antes a empresa fizer, maior de boa-fé e transparência com a fiscalização e clientes. Acredita-se que a comunicação realizada em dois dias úteis após o incidente, é considerada satisfatória para haja o início do processo de averiguação.
A consulta pública
As empresas que tiverem seus dados vazados poderão ser consultadas publicamente, segundo previsto em lei. Segundo a ANPD, é necessário construir limites claros que permitam distinguir os incidentes de segurança que possam trazer dano relevante e que exijam providências adicionais, daqueles que a ameaça pode ser descartada.
O novo posicionamento corrobora com a necessidade de empresas e indústrias se adequarem à LGPD o mais breve possível. As boas práticas e regras internas, além de outros procedimentos para segurança, podem evitar danos maiores para as empresas.
Mais informações sobre como enviar o peticionamento estão disponíveis no site https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.