Tema central: Segurança de dados pessoais e providências obrigatórias em caso de incidente, conforme a Lei Geral de Proteção de Dados (LGPD).

Legislação Aplicável: O tema está fundamentado no artigo 48 da LGPD, que determina a necessidade de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular em caso de incidentes de segurança com dados pessoais. Veja o texto legal:

“Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”

Exemplo prático: Imagine que os dados cadastrais de pais e alunos de uma escola vazem devido a um ataque hacker. O controlador (ex: a escola) precisa comunicar à ANPD e aos próprios titulares sobre o ocorrido, informando pelo menos a natureza dos dados afetados, riscos e medidas adotadas.

Comentando a Alternativa Correta: C) Deve comunicar a ANPD e, quando necessário, os titulares, em prazo razoável, contendo no mínimo a descrição da natureza dos dados afetados. É correta, pois reflete o art. 48 da LGPD. A lei exige comunicação em prazo razoável, incluindo informações mínimas sobre a natureza do dado, titulares envolvidos e as medidas tomadas. Não basta comunicar apenas aos titulares ou só quando houver prejuízo comprovado.

Análise das alternativas incorretas:

A) Incorreta, pois a comunicação deve ser feita mesmo que não haja prejuízo comprovado, bastando o risco ou dano relevante (art. 48).

B) Incorreta. Mesmo dados criptografados, se houver risco ou dano relevante, a comunicação à ANPD deve ser feita. Criptografia é uma medida de segurança, não uma dispensa legal.

D) Incorreta. Não é permitido aguardar apenas investigação interna: a comunicação deve ser tempestiva, em prazo razoável, e não depende de intimação judicial.

Observação sobre pegadinha: Atenção para termos como “somente”, “dispensado”, “pode aguardar”, pois restringem indevidamente obrigações legais. O examinador testa se você conhece o texto da lei e seus requisitos mínimos.

Doutrina: Danilo Doneda ressalta a importância da comunicação tempestiva e ampla em incidentes, visando proteger titulares e evitar agravamento dos riscos.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

• A LGPD, em seu Artigo 48, determina que o controlador deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) sobre incidentes de segurança que possam acarretar risco ou dano relevante aos titulares dos dados.
• A comunicação deve ser feita em prazo razoável e conter informações mínimas, como a descrição da natureza dos dados pessoais afetados, os tipos de dados envolvidos, as medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente, entre outras informações.
• Além da ANPD, o controlador também deve informar os titulares quando o incidente puder resultar em risco ou dano relevante a eles, para que possam tomar medidas para se proteger.

Art. 48. O controlador deverá comunicar à autoridade nacional ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.