A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece a obrigatoriedade de comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados afetados a ocorrência de incidentes de segurança que possam comprometer a segurança da informação e a privacidade dos dados pessoais. O prazo para essa comunicação é de até três dias úteis a partir da data de conhecimento do incidente.
Como DPO, considero importante atuar como um advogado da flexibilização do prazo de três dias úteis, em casos excepcionais e devidamente justificados. Isto porque, diversos são os fatores que podem influenciar o tempo necessário para a comunicação completa de um incidente de segurança, tais como:
- Gravidade do incidente: Incidentes mais graves, com potencial de impacto significativo nos titulares dos dados, exigem investigações mais aprofundadas e, consequentemente, um prazo maior para a comunicação.
- Complexidade do ambiente de TI: Ambientes de TI mais complexos, com múltiplos sistemas e interconexões, dificultam a coleta de informações e a análise das causas do incidente, prolongando o processo de investigação.
- Recursos disponíveis: A disponibilidade de recursos humanos, técnicos e financeiros para a investigação do incidente também influencia o tempo necessário para a comunicação completa.
- Cooperação com terceiros: Em alguns casos, a investigação pode exigir a colaboração de terceiros, como fornecedores de serviços de TI ou autoridades policiais, o que pode atrasar a comunicação final.
É importante ressaltar que a flexibilização do prazo não significa abrir mão da celeridade na comunicação. O objetivo é garantir que a comunicação seja feita de forma tempestiva, mas sem comprometer a qualidade das informações prestadas.
Veja como podemos defender essa flexibilização:
- Diálogo com a ANPD: É fundamental estabelecer um canal aberto de diálogo com a Autoridade Nacional de Proteção de Dados (ANPD). Ao comunicar um incidente complexo, o DPO pode informar a ANPD sobre as dificuldades enfrentadas e solicitar a prorrogação do prazo, apresentando um cronograma realista para a comunicação completa.
- Transparência e Boa-Fé: A transparência e a boa-fé são elementos cruciais. Ao comunicar o incidente à ANPD, o DPO deve demonstrar o comprometimento da organização com a investigação e a proteção dos dados pessoais. Informar os esforços realizados e as justificativas para a prorrogação do prazo demonstram seriedade e responsabilidade.
- Proporcionalidade: Devemos defender a proporcionalidade na aplicação do prazo. Incidentes de menor gravidade, com baixo risco de dano aos titulares, podem ser comunicados dentro do prazo de três dias úteis. Por outro lado, incidentes complexos, com potencial de impacto significativo, justificam uma maior flexibilidade.
- Boas Práticas Documentadas: Manter documentadas as boas práticas de segurança da informação e o plano de resposta a incidentes demonstra o compromisso da organização com a proteção de dados. Essa documentação pode ser utilizada como base para justificar a prorrogação do prazo, caso necessário.
Ao adotar essas medidas, o DPO demonstra a proatividade da organização na investigação e o comprometimento com a proteção dos dados pessoais dos titulares.
Uma vez que o prazo de três dias úteis para comunicação de incidentes de segurança é um ponto sensível na LGPD, através do diálogo com a ANPD, da adoção de boas práticas e da busca pela proporcionalidade, podemos encontrar um equilíbrio entre a celeridade na comunicação e a efetividade na mitigação dos riscos.
Portal LGPD 
Deixe um comentário