Camila Chizzotti*
25 de fevereiro de 2021 | 07h45
Camila Chizzotti. FOTO: DIVULGAÇÃO
No dia Internacional da Proteção de Dados (28/1), a Autoridade Nacional de Proteção de Dados (ANPD) anunciou sua agenda regulatória bianual (2021/2022), elencando 10 temas prioritários que serão o enfoque da autoridade, e estabelecendo se serão regulados por portaria, resolução ou eventual orientação por guias de boas práticas. Também apresentou o prazo previsto para o início de regulamentação dos temas, dividindo o lapso temporal em 3 fases:
Fase 1 (1º semestre de 2021)
Fase 2 (1º semestre de 2022)
Fase 3 (2º semestre de 2022)
Com essa mesma prática de transparência para a sociedade quanto às medidas que estão sendo tomadas, a ANPD informou que já está investigando casos de vazamento de dados, recomendou medidas aos titulares de dados vazados, bem como se reuniu com a Secretaria Nacional do Consumidor (SENACON) para tratar de iniciativas para tratar da proteção de dados dos consumidores.
Ainda neste contexto, e seguindo com a agenda regulatória publicada, a ANPD recentemente (22/2) iniciou seu processo de regulamentação sobre um item importante que estava em aberto na Lei Geral de Proteção de Dados Pessoais (LGPD), acerca dos incidentes de segurança.
A tomada de subsídios sobre a notificação de incidentes de segurança, nos termos do art. 48 da LGPD, deve ser enviada até 24 de março de 2021 e envolve, entre outras, as seguintes questões:
Além da tomada de subsídios em questão, a ANPD disponibilizou formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como orientações sobre o que fazer em caso de um incidente. Tais documentos servirão como guia enquanto não realizada a necessária regulamentação.
Informações mais detalhadas dessas diretrizes e documentos de extrema relevância, que devem fazer parte de um Programa de Governança para Proteção de Dados Pessoais efetivo, podem ser encontrados no seguinte endereço eletrônico: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
Tais documentos servirão de guia enquanto não realizada a necessária regulamentação, porém essa prévia de orientações já anunciadas demonstram que as empresas realmente terão que possuir um Programa de Privacidade de Dados Pessoais muito bem estruturado, com medidas de segurança técnicas e administrativas, e procedimentos, políticas e controles internos eficazes, para que possam detectar devidamente qualquer incidente que cause risco ou dano relevante ao titular de dados, e para que estejam aptas a fornecer, de forma clara e concisa, todas as informações detalhadas pela ANPD relativas ao incidente.
Ademais, o prazo para comunicação, em aberto na LGPD, que dispõe que a comunicação do incidente de segurança deve ser feita em prazo razoável (art. 48, § 1º), já foi objeto de posicionamento pela ANPD, que anunciou que enquanto não houver a regulamentação, recomenda-se que após a ciência do evento adverso, a ANPD seja comunicada em até 2 dias úteis, contados da data do conhecimento do incidente. Sendo assim, as empresas deverão estar amparadas por instrumentos de seu Programa de Proteção de Dados Pessoais que possibilitem uma comunicação efetiva e célere.
*Camila Chizzotti é sócia da área de compliance do Ogawa, Lazzerotti e Baraldi Advogados
Os comentários são exclusivos para assinantes do Estadão.