Quando ocorre um incidente de segurança com dados pessoas, a empresa deve tomar medidas previstas no Plano de Resposta a Incidentes(PRI) e evitar consequências previstas na LGPD.
1 – Quais as definições de dado pessoal e dado pessoal sensível?
Dispõe a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, em seu artigo 5º, que dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. E, dado pessoal sensível é o dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
2 – O que são Incidentes com Dados Pessoais e Plano de Resposta a Incidentes (PRI)?
Um Incidente com Dados Pessoais é um evento que leva à segurança a destruição, perda, alteração, divulgação ou acesso não autorizados, de forma acidental ou ilícita, a dados pessoais transmitidos, armazenados ou processados pela (inserir o nome da empresa). Já o Plano de Resposta a Incidentes é um plano que serve para orientar os colaboradores acerca dos procedimentos mais adequados a serem executados quando da ocorrência de Incidentes com Dados Pessoais.
3 – Como atuar em casos de Incidentes com Dados Pessoais?
Ao ter ciência sobre qualquer incidente com dados , é preciso comunicar imediatamente o Comitê de Privacidade (ou qualquer outra equipe correspondente) e o Encarregado pelo Tratamento de Dados Pessoais (DPO), que deverão acionar o Departamento de Tecnologia da Informação e o Departamento Jurídico. O colaborador deve seguir as orientações dos responsáveis, pois a adoção de medidas por conta própria pode agravar o problema ou danificar evidências do Incidente com Dados Pessoais. Ainda, é importante manter sigilo sobre a comunicação recebida, pois tornar a informação pública pode prejudicar a investigação do suposto Incidente com Dados Pessoais e a identificação do autor da comunicação.
4. – Como atuará o Encarregado pelo Tratamento de Dados Pessoais?
Se for o caso, realizará a comunicação do Incidente com Dados Pessoais à ANPD (Autoridade Nacional de Proteção de Dados), com base nas análises técnicas e jurídicas realizadas pela área de Tecnologia da Informação, pelo Comitê de Privacidade (ou qualquer outra equipe correspondente) e pelo Departamento Jurídico. Ainda, deve aprovar e autorizar a divulgação de comunicado, aos titulares envolvidos no Incidente com Dados Pessoais, validar e assinar quaisquer comunicados ao público, imprensa e clientes, orientar e/ou informar as equipes interessadas a respeito das práticas a serem adotadas com relação ao Incidente com Dados Pessoais, coordenar todas as ações decorrentes do Incidente com Dados, com o intuito de mitigar os impactos percebidos, atuar como porta-voz da empresa perante a ANPD, demais autoridades competentes e os Clientes, supervisionando os contatos e comunicações junto ao público, decorrentes do Incidente com Dados Pessoais, dentre outras atividades.
5 – No caso de incidentes com dados pessoais quais serão as consequências?
Em caso de descumprimento da LGPD e de infrações comprovadas, com dados pessoais ou dados pessoais sensíveis, podem ocorrer as seguintes sanções administrativas: advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD. Importante, também, prestar atenção aos danos reputacionais e possíveis ações judiciais por parte dos titulares dos dados pessoais! É primordial ter uma equipe multidisciplinar, com objetivos e prazos bem definidos, a fim de realizar a adequação à lei e evitar prejuízos futuros.
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a