A Autoridade Nacional de Proteção de Dados (ANPD) iniciou nesta segunda-feira, 22, a tomada de subsídios sobre a notificação de incidentes de segurança nos termos do art. 48 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais.
Outro ponto importante foi a disponibilização, pela Autoridade, do formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como o documento que contém orientações sobre o que fazer em caso de um incidente. Tais documentos servirão como guia enquanto não realizada a necessária regulamentação.
A iniciativa consta da Agenda Regulatória para o biênio 2021-2022, aprovada pela Portaria nº 21 de 27 de janeiro de 2021, a qual prevê como meta, em seu item nº 6, o início do processo de regulamentação sobre o assunto ainda no primeiro semestre do presente ano.
Após análise das contribuições trazidas na tomada de subsídios, ser elaborada e submetida à Consulta Pública minuta com a proposta de regulamentação, acompanhada do Relatório de Análise de Impacto Regulatório.
Outro importante aspecto a ser endereçado são as possíveis classificações de risco do incidente que podem ser adotadas pela ANPD, bem como os critérios para que essa classificação seja feita e as eventuais exceções em relação à obrigatoriedade de informar tanto os titulares quanto a Autoridade.
Além disso, um importante ponto de discussão diz respeito à regulamentação do prazo razoável para que as empresas informem tanto a ANPD quanto aos titulares de dados pessoais sobre os vazamentos de dados, como acontece, por exemplo com a lei europeia (GDPR) que prevê 72 horas. Hoje a LGPD é vaga em relação ao prazo.
Análise
Para Nairane Rabelo, diretora da ANPD, “a tomada de subsídios sobre a notificação de incidentes demonstra a seriedade e a celeridade que a Autoridade quer dar aos temas relacionados à proteção dos dados pessoais”.
Segundo dr. Gustavo Artese, da Viseu Advogados e coordenador do Fórum Equidata, a iniciativa de tomada de subsídios foi mais um passo acertado da ANPD, principalmente nesse momento em que a pandemia e a própria dinâmica do cibercrime aumentam de forma exponencial a incidência de casos.
A entidade elencou alguns temas que considera essenciais, como a criação de um score de incidentes; a divulgação dos padrões e melhores práticas em sistemas de informação; quais serão os critérios técnicos e jurídicos para apuração de responsabilidades, como por exemplo, de dados hospedados na nuvem de terceiros; direitos específicos dos titulares; relação entre os agentes de tratamento envolvidos; e por final, aspectos criminais, como no caso de invasão por hackers.
As contribuições devem seguir o modelo divulgado no site da Autoridade e podem ser enviadas no formato .pdf. para o e-mail consultapublica@anpd.gov.br, com o assunto Tomada de Subsídios 2/2021, até o dia 24 de março de 2021.
Para acessar a Nota Técnica, clique aqui.
Para acessar o formulário, clique aqui.
