-
GABARITO: LETRA A
O art. 48 da LGPD estabelece que: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. Em relação ao prazo, o § 1º do art. 48 da LGPD preceitua que “A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional”.
Perceba que, para o nosso azar, a Lei não traz nenhum prazo exato para a instauração do chamado incidente de segurança. Enquanto não há uma efetiva regulamentação neste sentido, tem-se recomendado que, após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Tal interregno foi estabelecido com parâmetro na definição de comunicação já existente no Decreto nº 9936/2019, que “disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito”.
-
GABARITO - A
A LGPD faz uma mera recomendação !
A) Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo (...)
_____________________________________
LGPD / DEFINIÇÕES:
dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
agentes de tratamento: o controlador e o operador;
(.....)
-
Questão sobre tema novo.
A - O chamado incidente de segurança deve ser comunicado à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares, em prazo razoável, com a recomendação atual de dois dias úteis, contado da data do conhecimento do incidente, enquanto não sobrevier outra regulação. (Gabarito. Há uma recomendação pela ANPD de que a comunicação seja feita no prazo de dois dias úteis, conforme nota divulgada no sítio eletrônico: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca)
"Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.
B - A LGPD fixou como prazo legal de comunicação à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares o prazo de dois dias úteis a partir do conhecimento do vazamento dos dados. (Errado. Em nenhum momento a LGPD fixou um prazo em seu texto, apenas dispôs que: "A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional" - § 1º do art. 48).
C - A LGPD fixou como prazo legal de comunicação à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares o prazo de dois dias úteis a partir da ocorrência do vazamento dos dados, tornando obrigação do gestor dos dados a realização de auditorias permanentes para detectar falhas na segurança. (Errado. Em nenhum momento a LGPD fixou um prazo em seu texto, apenas dispôs que: "A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional" - § 1º do art. 48).
D - A LGPD fixou como obrigação do gestor do banco de dados o de comunicação à autoridade nacional de dados somente naqueles casos em que possa acarretar dano relevante aos titulares, tendo fixado um prazo legal de cinco dias úteis.
E - A LGPD fixou como obrigação do gestor do banco de dados o de comunicação à autoridade nacional de dados somente naqueles casos em que possa acarretar dano relevante aos titulares, tendo fixado um prazo legal de sete dias úteis.
As assertivas D e E estão erradas.
Existem dois pontos errados nas assertivas:
(a) o texto legal não utiliza a palavra somente: Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
(b) em nenhum momento a LGPD fixou um prazo em seu texto, apenas dispôs que: "A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional" - § 1º do art. 48). Outrossim, a atual RECOMENDAÇÃO da ANPD é que a comunicação ocorra em 2 dias úteis).
-
Além do art. 48 da LGPD, já citado pelos colegas, vejamos o teor do art. 18, caput e §1º do Decreto 9.936/2019:
Art. 18. Na ocorrência de vazamento de informações de cadastrados ou de outro incidente de segurança que possa acarretar risco ou prejuízo relevante a cadastrados, o gestor de banco de dados comunicará o fato:
I - à Autoridade Nacional de Proteção de Dados, na hipótese de ocorrência que envolva o fornecimento de dados de pessoas naturais;
II - ao Banco Central do Brasil, na hipótese de ocorrência que envolva o fornecimento de dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil; e
III - à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, na hipótese de ocorrência que envolva o fornecimento de dados de consumidores.
§ 1º A comunicação de que trata o caput será feita no prazo de dois dias úteis, contado da data do conhecimento do incidente, e mencionará, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os cadastrados envolvidos;
III - a indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive os procedimentos de encriptação;
IV - os riscos relacionados ao incidente; e
V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
-
LETRA A CORRETA
LEI 13.709
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional
-
correto :
O chamado incidente de segurança deve ser comunicado à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares, em prazo razoável, com a recomendação atual de dois dias úteis, contado da data do conhecimento do incidente, enquanto não sobrevier outra regulação.
-
mamãe