Você já se perguntou sobre o que fazer caso a sua empresa tenha um incidente de segurança envolvendo dados pessoais? Com a quantidade crescente de informações sensíveis sendo armazenadas e processadas online, é fundamental estar preparado para lidar com incidentes de segurança que possam comprometer a privacidade e a segurança dos dados pessoais tratados pela empresa.
Um incidente de segurança pode assumir diversas formas, desde uma violação de dados causada por um ataque cibernético até a perda ou roubo de dispositivos de armazenamento. Independentemente da natureza do incidente, é crucial que as empresas estejam preparadas para responder de maneira eficaz e adequada, tanto para mitigar os danos quanto para cumprir com as regulamentações de proteção de dados.
Para orientar adequadamente sobre o que fazer nesses casos, a ANPD aprovou no dia 26 de abril de 2024 o Regulamento de Comunicação de Incidentes de Segurança (RCIS). Neste texto, vamos explicar quais são as principais medidas que devem ser realizadas após um incidente de segurança, conforme o RCIS, e quando é necessário entrar em contato com a ANPD.
RCIS – Regulamento de Comunicação de Incidentes: Principais Orientações
O RCIS estabelece que o controlador deve informar tanto a ANPD quanto o titular dos dados sobre a ocorrência de incidentes de segurança que possam resultar em risco ou dano significativo. Essa obrigação está diretamente ligada à possibilidade de prejudicar os interesses e direitos fundamentais dos titulares, especialmente quando envolve dados pessoais sensíveis, informações financeiras, dados de menores de idade, credenciais de autenticação em sistemas, informações protegidas por sigilo ou tratadas em grande escala.
Além disso, o regulamento RCIS define os prazos para que o controlador faça essa comunicação e especifica as informações que devem ser fornecidas. Ele também estipula a necessidade de manter registros dos incidentes de segurança que envolvam dados pessoais.
Critérios para Comunicação de Incidente de Segurança: O controlador deverá comunicar a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Prazos para que o controlador efetive a comunicação: A comunicação de incidente de segurança à ANPD e ao titular deverá ser realizada pelo controlador no prazo de três dias úteis.
Registro de Incidentes: É obrigatório manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.
Essas medidas são extremamente relevantes no que diz respeito ao princípio da transparência, pois enfatiza a importância de fornecer informações claras aos titulares cujos dados pessoais foram afetados por um incidente.
Acesse o regulamento RCIS na íntegra aqui: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024
Quando entrar em contato com a ANPD: Dúvidas frequentes sobre a comunicação
Além da notificação sobre incidentes de segurança, a empresa deve entrar em contato com a Autoridade Nacional de Proteção de Dados (ANPD) em várias situações relacionadas à proteção de dados. Como:
Consultas e Reclamações: A empresa pode entrar em contato com a ANPD para buscar orientação sobre conformidade com a LGPD, esclarecer dúvidas sobre o tratamento de dados pessoais ou fazer reclamações relacionadas à proteção de dados.
No texto Como fazer uma denúncia para a ANPD: Autoridade divulga nova página, mostramos o passo a passo de como é feita a petição ou denúncia para a ANPD nos casos de violação à LGPD.
Outras questões relacionadas à conformidade com a LGPD: Em geral, a empresa pode entrar em contato com a ANPD para obter orientação sobre qualquer questão relacionada à conformidade com a LGPD ou sobre a interpretação da legislação.
Lidar com um incidente de segurança pode ser desafiador, mas estar preparado e agir com rapidez e eficácia pode fazer toda a diferença. Priorize a proteção dos dados pessoais e esteja sempre atualizado sobre as melhores práticas de segurança cibernética para garantir a confiança e a segurança jurídica da sua empresa. Converse com nossos advogados especialistas em Proteção de Dados.
Fonte: RCIS – https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024
