Ciência e Tecnologia News 

ANPD coloca regras para informar risco de danos em consulta pública

tutoriaisweb
ANPD coloca em consulta regras para informar risco de danos
Minuta sintetiza regras para avisar incidente de segurança envolvendo dados pessoais | Foto: Freepik

A Autoridade Nacional de Proteção de Dados (ANPD) abriu consulta pública sobre as regras que ditam a forma adequada dos controladores de dados informarem incidente de segurança à autarquia e aos titulares afetados. As contribuições devem ser enviadas por meio da plataforma Participa Mais Brasil até o dia 31 de maio.

De acordo com a minuta, o processo de comunicação sobre um incidente de segurança tem entre seus objetivos assegurar a adoção das medidas necessárias para mitigar ou reverter os efeitos e incentivar o princípio da responsabilização e da prestação de contas pelos agentes de tratamento. 

Além disso, a comunicação dos incidentes fornecem subsídios para as atividades regulatórias, de fiscalização e sancionadoras da ANPD.

A proposta em consulta pública é de exigir comunicação do incidente por parte do controlador diretamente à ANPD “sempre que o incidente possa acarretar risco ou dano relevante aos titulares afetados” (saiba mais abaixo). 

O prazo geral para a comunicação é de três dias úteis a partir do conhecimento do ocorrido. Para agentes de pequeno porte, o prazo é maior, de seis dias úteis. 

Risco ou dano relevante

Um incidente capaz de acarretar risco ou dano relevante aos titulares é definido como aquele com potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:

  • dados sensíveis;
  • dados de crianças, de adolescentes ou de idosos;
  • dados financeiros;
  • dados de autenticação em sistemas; ou
  • dados em larga escala (“quando abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”).

O conceito de incidente que pode “afetar significativamente interesses e direitos fundamentais” é descrito como aqueles que possam “impedir ou limitar o exercício de direitos ou a utilização de um serviço” ou “ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade”. 

O que deve ser informado à ANPD

A minuta lista uma série de informações que devem estar presentes na comunicação do incidente de segurança, dentre as quais: a descrição da natureza e da categoria de dados pessoais afetados; o número de titulares afetados, discriminando quantos são crianças, adolescentes ou idosos; os riscos; dados do encarregado, controlador e operador; as medidas de segurança adotadas; e a declaração de que foi realizada a comunicação aos titulares (saiba mais abaixo).

O controlador de dados pode ser representado por um advogado para apresentar a comunicação 

Sigilo

Ainda de acordo com a minuta, o caberá ao controlador de dados solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial. 

O que deve ser informado ao titular

As hipóteses de comunicação aos usuários também são em caso de risco ou dano relevante, com prazo de três úteis desde o conhecimento do caso, sendo seis dias quando o agente for de pequeno porte. 

Os titulares devem ter acesso à informações com linguagem simples e de fácil entendimento, de forma direta e individualizada (pelos meios usualmente utilizados pelo controlador para contatar o titular, tais como, telefone, e-mail, mensagem eletrônica ou carta), contendo:

 

  • a descrição da natureza e da categoria de dados pessoais afetados;
  • os riscos ou impactos ao titular;
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os
  • efeitos do incidente, quando cabíveis;
  • a data do conhecimento do incidente de segurança; e
  • o contato para obtenção de informações e dados do encarregado, quando
  • aplicável.

A minuta prevê que caso a comunicação direta e individualizada se mostre inviável ou não seja possível determinar, parcial ou integralmente, os titulares afetados, o controlador deverá comunicar a ocorrência do incidente, no prazo e com as informações exigidas, pelos meios de divulgação disponíveis, tais como na sua página na Internet, em aplicativos, em suas mídias sociais e em canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização pelo período de, no mínimo, seis meses. 

Acesse aqui a minuta com as regras em consulta pública.

O post ANPD coloca regras para informar risco de danos em consulta pública apareceu primeiro em TeleSíntese.

Você pode gostar também

CPE: Anatel define requisitos mínimos de segurança cibernética

tutoriaisweb

ONG aponta desmanche do combate à corrupção no governo Bolsonaro

tutoriaisweb

BNDES cita telecom em meta de ‘dobrar desembolsos’

tutoriaisweb