Pressionada pelos recentes episódios de grandes vazamentos de dados pessoais no Brasil, a nossa recém instaurada Autoridade Nacional de Proteção de Dados (ANPD) acaba de disponibilizar um formulário de comunicação de incidente de segurança de dados e uma proposta de resolução normativa sobre como essas comunicações devem ser feitas.
Vale lembrar que um dos pontos ainda não regulamentados na Lei Geral de Proteção de Dados (LGPD) é justamente o prazo máximo para que uma comunicação de incidente seja feita. A lei fala apenas em “prazo razoável (art. 48, § 1º)”. Enquanto não sacramenta um limite, a ANPD recomenda, nesses documentos recém-publicados, que após a ciência do evento adverso (no caso, um vazamento) e havendo risco relevante, a autoridade seja comunicada com a maior brevidade possível, “sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente”.
Além disso, alguns profissionais da área notaram que as perguntas do documento parecem ter sido traduzidas do modelo utilizado no Reino Unido pelo Information Commissioner’s Office. Mas a ANPD optou por remover aspectos importantes como a indicação se o incidente foi um ataque cibernético ou erro humano, ou se os colaboradores envolvidos receberam algum treinamento recente no assunto.
A minuta da resolução normativa fica em consulta pública, para coleta de críticas e sugestões, até o próximo dia 24 de março.