ANPD: Comunicação inadequada de vazamento de dados pode gerar sanção

A Autoridade Nacional de Proteção de Dados (ANPD) recentemente impôs a sanção de advertência a duas entidades que registraram incidentes de segurança com dados pessoais (vazamento de dados), mas realizaram a comunicação de forma inadequadamente aos titulares.

Em um dos casos, vazaram dados cadastrais, e apesar de notificarem a ocorrência do incidente de segurança aos titulares, a comunicação não foi feita de forma clara, adequada e tempestiva os titulares dos dados sobre quais informações pessoais poderiam ter sido comprometidas, infringindo diretamente o artigo 48 da Lei Geral de Dados Pessoais (LGPD).

A comunicação de incidente de segurança deve ser clara, objetiva, efetiva e detalhar o que efetivamente ocorreu, em especial a volumetria de dados e os tipos de dados pessoais afetados, de forma que seja possível mensurar os efeitos colaterais do eventual incidente de segurança ocorrido.

A ANPD baseou a sanção no fato de que os titulares de dados não foram individualmente comunicados sobre o incidente de segurança ocorrido. Tampouco houve a apresentação de justificativa razoável, por parte da empresa.

Cumulativamente, a empresa foi advertida por violação ao artigo 49, que trata da necessidade de manter sistemas seguros de tratamento de dados pessoais.

A ANPD, nesse início de atividade sancionadora, vem optando por aplicar penalidades mais leves, mesmo podendo aplicar multas de até 2% do faturamento das empresas (limitada a 50 milhões de reais) e, inclusive, a proibição de que a empresa trate os dados pessoais.

A ANPD vem desenvolvendo um trabalho de cunho educativo, buscando a conscientização e conformidade com a LGPD por parte de todas as empresas, com foco na atuação preventiva.

FONTE- AF FIGUEIREDO CURSOS E TREINAMENTOS