Para garantir a execução da LGPD, a lei também estipulou a criação da Autoridade Nacional de Proteção de Dados (ANPD).

Essa entidade é responsável por fiscalizar, vistoriar e autuar as empresas que não seguem os novos protocolos de segurança.

No entanto, a ANPD também possui outro papel importante: verificar denúncias e comunicações das empresas.

Essa interação entre a entidade e as organizações é fundamental para garantir o pleno funcionamento da lei. Por isso, é importante que as empresas saibam quando notificar a ANPD.

 Confira aqui os principais casos e como proceder em cada um:

Quando as empresas devem notificar a ANPD?

A princípio, a regra geral estipula que as empresas devem notificar a ANPD em caso de incidentes de segurança dos dados pessoais, ou exista um risco ou dano relevante ao titular.

Um incidente envolve qualquer evento suspeito relacionado à violação da segurança dos dados. Por exemplo, acessos não autorizados, vazamentos ou mesmo invasão de hackers.

Caso exista a destruição, perda, alteração ou qualquer tipo de tratamento indevido, constitui um incidente.

No entanto, não são todos os incidentes que devem ser comunicados à ANPD. A empresa deve enviar um comunicado apenas quando houver danos relevantes ao titular.

Isso significa que o incidente deve proporcionar algum risco para o dono dos dados. Por exemplo, roubo de informações que resultem na exposição do usuário, ou danos financeiros, como golpes.

Nesses casos, a ANPD deve ser notificada imediatamente, para dar início aos processos legais que a LGPD determina.

Quais as etapas para notificar a ANPD?

Depois de identificar o incidente, a empresa deve seguir algumas etapas para notificar a ANPD corretamente. Confira as principais:

1. Avaliar o incidente

Antes de mais nada, é importante avaliar o grau e a natureza do incidente, de maneira interna e sigilosa.

Ou seja, a empresa não pode deixar nada vazar, até que a ANPD esteja notificada e no controle.

Essa avaliação inclui o grau, a categoria e a quantidade de dados afetados no incidente, bem como todas as possíveis consequências.

2. Comunicar as equipes responsáveis

Em seguida, o próximo passo é comunicar todos os cargos responsáveis pelo tratamento de dados dentro da empresa.

Ou seja, o Controlador, como chefe de operações, os Operadores, como funcionários que atuam diretamente com os dados, e também o Encarregado, função que realiza a comunicação direta com a ANPD.

Depois que os cargos estiverem comunicados, eles deverão avaliar a necessidade de notificar a entidade de controle.

3. Elaborar a documentação interna

Por fim, uma das etapas mais importantes antes de notificar a ANPD é elaborar a documentação interna do incidente.

Ela ajudará nas vistorias, e também servirá como documento oficial para os autos da empresa no futuro.

A documentação deve constar algumas informações básicas, claras e concisas, como:

• - Análise de risco;
• - Identificação dos dados, e, se possível, dos titulares desses dados;
• - Pessoa responsável pelo tratamento;
• - Encarregado oficial;
• - Data e hora do incidente;
• - Duração do incidente até as medidas de contenção;
• - Possíveis causas;
• - Descrição dos dados afetados, bem como a natureza e categoria das informações;
• - Possíveis consequências desse incidente.

Dependendo da avaliação interna, o documento será enviado para a ANPD, que tomará as devidas medidas.

No caso de incidentes não tão graves, ou contidos com sucesso, não existe a necessidade de comunicação integral.

Por isso, a empresa deve apresentar uma equipe especializada apenas para esses procedimentos.

Além disso, a LGPD também indica que a empresa deve adotar medidas de segurança para evitar essas situações.

Assim, vale a pena investir em bons sistemas de proteção, para evitar problemas maiores com a autoridade nacional.