Quando uma Empresa deve notificar a ANPD (Autoridade Nacional de Proteção de Dados) - ConectaValle

Quando uma Empresa deve notificar a ANPD (Autoridade Nacional de Proteção de Dados)

Diante dos vários ataques cibernéticos que vivenciamos atualmente, as organizações precisam se dedicar cada vez mais ao tema da segurança da informação. Desde setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, os já crescentes ataques cibernéticos preocupam ainda mais os departamentos de privacidade e proteção de dados, além dos encarregados pelo tratamento dos dados pessoais, quase sempre recém-nomeados.

A LGPD estabelece a obrigatoriedade de que o controlador notifique a Autoridade Nacional de Proteção de Dados (ANPD) e o titular sobre possíveis incidentes de segurança que possam acarretar risco ou dano relevante. Mas, na prática, nem sempre é fácil identificar a razão e a maneira de fazer esta notificação, o que pode ser corrigido com o auxílio de uma consultoria.

Os incidentes de segurança normalmente são considerados momentos de crise dentro de uma empresa. Quanto mais urgente for a necessidade de uma decisão, mais a tensão tende a aumentar. Isso faz com que que a informação seja imprescindível nesse processo, considerando todos os pontos necessários antes de enviar uma notificação formal e comunicar o ocorrido aos titulares, agindo de forma eficaz. Mas qual o momento certo de comunicar à ANPD?

Em seu texto, a LGPD estabelece que a comunicação deve ser feita dentro de um prazo razoável, previamente definido pela ANPD. Atualmente, o recomendado é seguir o prazo de dois dias úteis para enviar o comunicado. Esse prazo, entretanto, ainda não é definitivo e a ANPD provavelmente irá se manifestar sobre o tema, regulamentando o prazo oficial.

Em relação às informações que devem ser levantadas e incluídas na notificação, temos: a descrição da natureza dos dados em questão, as informações sobre os titulares envolvidos, a indicação das medidas técnicas/de segurança utilizadas na proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou serão adotadas para reverter o prejuízo. Caso a comunicação à ANPD não tenha sido imediata, também deve constar os motivos da demora em enviar tais informações.

Se o controlador não tiver todas essas informações em mãos dentro do prazo de dois dias, poderá fazer uma comunicação parcial à ANPD e complementá-la depois. No site da Agência Nacional existe um modelo de formulário para notificação de incidente de segurança, com campo para assinalar se a comunicação é parcial ou completa.

Lembre-se de que a notificação de um incidente à ANPD e aos titulares dos dados é um momento estratégico e importante, e que não pode jamais ser negligenciado por uma empresa. Se previna e tome os cuidados para preparar a comunicação e a notificação adequadas. Uma empresa de consultoria pode ser ideal nesse processo, aumentando a assertividade nas etapas administrativas e, eventualmente, judiciais.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima