É sempre obrigatório comunicar a autoridade nacional em caso de incidente de segurança?

A obrigatoriedade de comunicar a Autoridade Nacional de Proteção de Dados em caso de incidente de segurança com dados pessoais é uma das dúvidas mais comuns das empresas.

É importante ressaltar que incidente de segurança não necessariamente é um incidente de privacidade.

Incidente de segurança é um evento que compromete a confidencialidade, integridade e disponibilidade de dados, já o incidente de privacidade é a ocorrência que envolve dados pessoais. Assim, nem sempre um incidente de segurança será um incidente de privacidade e, mesmo que seja, nem sempre implicará na obrigação de comunicação à Autoridade Nacional de Proteção de Dados.

Então, quando é obrigatório realizar a comunicação à Autoridade Nacional?

A empresa deve ponderar se o incidente de segurança envolve dados pessoais e, em caso positivo, verificar se existe algum dano relevante aos direitos e liberdades individuais dos titulares de dados afetados em razão do incidente.

Caso esse cenário se confirme, aí sim se deve apresentar a comunicação à ANPD e aos titulares de dados. Em sentido contrário, se o incidente não envolver dados pessoais ou não implicar em risco ou dano relevante aos titulares de dados, não é necessário comunicar a ANPD.

Assim, a análise de riscos, ou seja, a conjugação entre impacto e probabilidade, é essencial para a decisão de comunicação do incidente de privacidade.

Dessa forma, nem todo o #incidente deve ser notificado à ANPD, contudo é extremamente importante que as organizações entendam as disposições previstas na LGPD e cumpram suas obrigações, bem como adotem medidas adequadas de segurança para proteger os dados pessoais, caso contrário, estarão sujeitas a sanções e penalidades impostas por violação a dados pessoais.