28 abr AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS IMPLEMENTA CANAL PARA COMUNICAÇÃO E REGULAMENTA QUESTÕES DE INCIDENTES DE SEGURANÇA.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão criado pela Lei Geral de Proteção de Dados (LGPD) para fiscalizar o cumprimento das novas diretrizes de proteção aos dados, implementou, em seu site, canal para a comunicação da ocorrência de Incidentes de Segurança.
Os Incidentes de Segurança são qualquer forma de violação na segurança dos dados pessoais, confirmados ou sob suspeita, tais como “acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita”.
Tendo a empresa, seja controladora ou operadora, identificado um possível Incidente de Segurança que possa acarretar risco de dano aos titulares dos dados, ela é obrigada, dentre outras medidas, a comunicar à ANPD, em até dois dias úteis, tal ocorrência, e ainda elaborar um documento contendo a avaliação interna do incidente, medidas tomadas e análise de risco.
Neste mesmo documento, deve-se informar “o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados”
A prestação de todas essas informações, no prazo estipulado pela ANPD, só será possível se, previamente, a empresa tiver mapeada a base de dados pessoais que ela possui, seu meio de suporte e acesso; e, mais especificamente, tiver sido feita uma prévia análise do quantitativo de dados armazenados em relação à natureza dos serviços que ela presta.
Mais do que um simples cumprimento de obrigação legal, este documento servirá de base inclusive para a aferição de boa-fé da empresa em relação à guarda dos dados pessoais, elemento que seguramente será utilizado para minorar eventual penalização que a empresa venha a sofrer em razão do incidente.
Por isso, tão importante quanto a análise e implementação de fatores técnicos que evitem a ocorrência deincidentes, que são inerentemente imperfeitos e sempre sujeitos a invasões, é a análise da quantidade e qualidade dos dados que a empresa armazena, de forma a que, em caso de acidente, os eventuais riscos ou danos aos titulares expostos sejam mínimos.