Pular para o conteúdo
Compliance MSPA

Artigo 48: O Dever de Comunicar Incidentes de Segurança

Art. 48. O deverá comunicar à autoridade nacional e ao a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: I - a descrição da afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao a adoção de providências, tais como: I - ampla divulgação do fato em meios de comunicação; e II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

O que isso significa na prática?

Seção intitulada “O que isso significa na prática?”

Este artigo estabelece que, em caso de um incidente de segurança (como um vazamento de dados) que possa causar um dano real aos titulares, o não pode ficar em silêncio. Ele tem a obrigação de comunicar o ocorrido a duas partes:

  1. À ANPD: A autoridade fiscalizadora precisa ser notificada formalmente.

  2. Aos Titulares Afetados: As pessoas cujos dados foram comprometidos devem ser informadas.

A comunicação precisa ser detalhada, explicando o que aconteceu, quais dados foram afetados e o que está sendo feito para corrigir. A ANPD pode, inclusive, determinar que a empresa dê ampla publicidade ao caso na mídia, dependendo da gravidade.

Como se Aplica ao seu Negócio?

Seção intitulada “Como se Aplica ao seu Negócio?”

Este artigo exige que sua empresa esteja preparada para o pior cenário. Não se trata de “se” um incidente vai acontecer, mas “quando”.

📜 Plano de Resposta a Incidentes (PRI): Sua empresa precisa ter um plano de ação claro para o caso de um incidente. Esse plano deve detalhar passo a passo quem faz o quê, incluindo quem é o responsável por fazer a comunicação à ANPD e aos titulares.

Agilidade é Essencial: A lei fala em “prazo razoável”, que a ANPD tem regulamentado. Ter um PRI pronto acelera essa resposta.

🚫 Não Esconda o Incidente: Tentar esconder um vazamento de dados é quase sempre a pior decisão. A violação deste artigo pode gerar sanções adicionais e causa uma quebra de confiança irreparável com seus clientes.

🛡️ A Criptografia como Salva-vidas: O § 3º é um grande incentivo para que as empresas invistam em criptografia. Se dados vazados estavam criptografados de forma robusta, o risco de dano é menor, e a gestão da crise se torna mais simples.