A Autoridade Nacional de Proteção de Dados – ANPD divulgou um novo formulário para comunicação de incidentes de segurança pelos controladores, que deverá ser utilizado a partir de 1o de janeiro de 2023.
Os incidentes de segurança devem ser comunicados à ANPD e aos titulares de dados pessoais sempre que existir risco ou dano relevante aos titulares. A ANPD apresenta alguns exemplos de incidentes capazes de gerar risco ou dano relevante aos titulares:
a) A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais.
b) A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde.
c) A perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares pode expô-los a riscos reputacionais e de sofrer fraudes financeiras.
Os seguintes fatores devem ser considerados na avaliação de risco de um incidente com dados pessoais, segundo a ANPD:
- o contexto da atividade de tratamento de dados;
- as categorias e quantidades de titulares afetados;
- os tipos e quantidade de dados violados;
- os potenciais danos materiais, morais, reputacionais causados aos titulares;
- se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;
- as medidas de mitigação adotadas pelo controlador após o incidente.
Os incidentes devem ser comunicados o mais rapidamente possível, em até 2 (dois) dias úteis, conforme orientação da ANPD.
Acesse o formulário ou esclareça dúvidas sobre o procedimento de comunicação de incidentes de segurança em https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis