Incidente de segurança com dados pessoais é todo e qualquer evento adverso, confirmado ou sob suspeita, que envolva a violação da segurança de dados pessoais.
Nenhuma empresa quer ser vítima de um incidente de segurança com dados pessoais, mas elas devem estar preparadas para caso isso aconteça.
Caso ocorra um incidente, a empresa deverá, primeiramente, realizar uma avaliação interna sobre o ocorrido.
É também necessário que o encarregado (profissional designado pela empresa para atuar como responsável pela área de proteção de dados e para servir como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD) seja acionado pela empresa para que auxilie na elaboração dos documentos necessários e na comunicação imediata aos titulares dos dados afetados pelo incidente e à ANPD.
Deverá, então, ser elaborada toda uma documentação, visando o cumprimento do princípio da responsabilização e prestação de contas. Essa documentação deverá englobar a avaliação interna do incidente, as medidas tomadas e uma análise de risco.
Por sua vez, na comunicação, a empresa deverá disponibilizar uma série de informações sobre o incidente, tais como: identificação e dados de contato da empresa responsável pelo tratamento de dados, do encarregado de dados ou outra pessoa de contato; indicação se a notificação é completa ou parcial (ou seja, se a empresa já tem todas as informações sobre o incidente ou se ele ainda está sendo apurado); a data e hora da detecção do incidente; a duração do ocorrido; as circunstâncias em que ocorreu a violação; a descrição dos dados afetados; as possíveis consequências e efeitos negativos sobre os titulares de dados afetados; as medidas de segurança, técnicas e administrativas tomadas pelo controlador de acordo com a LGPD; dentre outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Esta comunicação deverá ser destinada à ANPD, por meio de peticionamento eletrônico no site da mesma, e aos titulares dos dados afetados.
Sua empresa está preparada para comunicar um incidente de segurança com dados pessoais? Entre em contato com nossa equipe e obtenha ajuda na elaboração de um plano de reposta a incidentes de proteção de dados.