(Paula Helena A. M. Carvalho)
A Autoridade Nacional de Proteção de Dados, ligada ao Ministério da Justiça e Segurança Pública, tem como principal objetivo orientar os agentes sobre o tema de proteção de dados pessoais.
Assim, em uma de suas mais recentes regulamentações (Resolução CD/ANPD n. 15), foi aprovado o Regulamento de Comunicação de Incidente de Segurança, cujo objetivo é estabelecer os procedimentos para casos que possam acarretar risco ou dano relevante aos titulares dos dados vazados.
Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
E esse “risco ou dano relevante” é assim considerado caso afete significativamente interesses e direitos fundamentais dos titulares[1], bem como envolver ao menos um dos critérios abaixo: I – dados pessoais sensíveis; II – dados de crianças, de adolescentes ou de idosos; III – dados financeiros; IV – dados de autenticação em sistemas; V – dados protegidos por sigilo legal, judicial ou profissional; ou VI – dados em larga escala (art. 5º da Resolução).
Com previsão específica de procedimentos tanto para comunicação, registro e apuração do incidente de segurança, a empresa e seu controlador de dados precisam estar atentos, especialmente, aos prazos lá mencionados.
[1] Situações tais como em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade (art. 5º, § 1º da mesma Resolução).