A Autoridade Nacional de Proteção de Dados (ANPD) publicou novo formulário para comunicação de incidentes envolvendo dados pessoais, que deverá ser utilizado a partir de 1 de janeiro de 2023.

Além da atualização do formulário, a Autoridade apresentou recomendações mais detalhadas quanto ao processo de notificação, como:

• A obrigatoriedade da realização da notificação pelo Encarregado ou por algum representante legal do controlador;
• A recomendação de envio da notificação complementar em até 30 dias do envio da notificação preliminar, e
• O dever do operador em notificar o controlador sobre a ocorrência de incidente, inclusive com previsão da obrigação em contrato.

Após a notificação, caso não seja identificada nenhuma infração ou necessidade de aplicação de medidas adicionais, o processo será arquivado. Entretanto, se necessário, a ANPD poderá solicitar a correção da comunicação ou adoção de medidas para mitigar os riscos decorrentes de incidentes.

A Autoridade trouxe algumas situações em que podem ser aplicadas as sanções, tais como:

• A não comunicação do incidente à ANPD e aos titulares em prazo razoável; e
• A não adoção de medidas de segurança para proteger os dados pessoais pelo controlador.

Por isso, essencial uma avaliação precisa e técnica dos incidentes que deverão ser notificados à Autoridade, sob pena de incorrer em penalidades. Lembrando que mesmo os incidentes que não sejam passíveis de notificação à ANPD deverão ser registrados pela empresa.