Dentre os destaques da atualização, recomendou-se que as obrigações referentes à comunicação de incidentes entre controladores e operadores sejam estabelecidas em contrato, de forma a agilizar o procedimento e minimizar riscos.
Manteve-se a recomendação da comunicação em até 2 (dois) dias úteis da ciência do fato, da mesma forma que a demora injustificada na comunicação pode sujeitar os agentes às sanções administrativas.
A comunicação poderá ser preliminar ou complementar, sendo importante que a empresa mantenha documentado tudo relacionado à ocorrência e às medidas tomadas.
Positivamente, a ANPD traz que, na avaliação pela comunicação ou não, o controlador deve considerar aspectos como os tipos e quantidade de dados e de titulares afetados, os potenciais danos materiais, morais, reputacionais causados aos titulares, se os dados estavam protegidos de forma a impossibilitar a identificação de seus titulares e as medidas de mitigação adotadas após o incidente.
Assim, é necessário que o controlador possua metodologia de avaliação de risco do incidente para determinar a necessidade da sua comunicação ou não. O Peck Advogados atua na análise destas situações e presta apoio na determinação das medidas que podem ser empregadas, bem como no levantamento de aspectos para subsidiar a decisão pela comunicação ou não da ocorrência.
Por Caroline Teófilo e Jean Luz, da área de Governança de Proteção de Dados, Núcleo DPO e Segurança da Informação do Peck Advogados.