Comentário da Questão – LGPD (Art. 48): Incidente de Segurança

Tema central: A questão aborda as obrigações do controlador frente à ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, nos termos do Art. 48 da LGPD (Lei nº 13.709/2018).

Base legal:
"Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares."

Incisos relevantes:
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
VI – as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Análise das afirmativas:

I - Incorreta. A comunicação deve ser feita tanto à autoridade nacional quanto ao titular. Alegar que é "exclusivamente à autoridade nacional" é equivocado e ignora a proteção do próprio titular, prevista expressamente no caput do artigo.

II - Correta. O controlador deve realmente indicar as medidas técnicas e de segurança utilizadas, observando o segredo comercial e industrial (art. 48, §1º, III).

III - Correta. É obrigatório informar as medidas para reverter ou mitigar os efeitos do prejuízo (art. 48, §1º, VI).

Exemplo prático:
Imagine que uma empresa tem um banco de dados que foi invadido. Ela precisa avisar tanto a Autoridade Nacional de Proteção de Dados (ANPD) quanto os titulares lesados, explicar que tipo de dados foram afetados, informar como tenta proteger esses dados e quais providências está adotando para minimizar prejuízos (como bloquear acessos ou resetar senhas).

Justificativa da alternativa correta (A):
A alternativa “II e III” reflete exatamente o que determina o art. 48, pois ambos os itens descrevem obrigações reais e literais do controlador em casos de incidentes.

Análise das alternativas incorretas:

• B), C), D): Todas incluem a afirmativa I, que é incorreta, pois limita a comunicação somente à autoridade nacional, contrariando a LGPD.
• E): Considera apenas a II. Apesar de correta, omite a III, também indispensável pela lei.

Pegadinha:
Fique atento a expressões como “exclusivamente” e a exigência de comunicação também ao titular, que são pontos frequentes em questões sobre LGPD!

No entendimento da doutrina, Danilo Doneda reforça a necessidade da comunicação, valorizando a transparência e responsabilidade do controlador. Laura Schertel Mendes também destaca que o objetivo é dar ao titular condições de proteger seus próprios interesses caso seus dados tenham sido comprometidos.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Gabarito: Letra A

I - Atentem se ao exclusivamente ,

O controlador deverá comunicar à autoridade nacional e ao titular

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

I - (Incorreta) - A ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares deve ser comunicada exclusivamente à autoridade nacional, a fim de preservar informações sensíveis.

LGPD - Art. 48 - Caput - O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

__________________________________________________________________________________________________________________

II - (Correta) - O controlador deverá indicar as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial.

LGPD - Art. 48, III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

__________________________________________________________________________________________________________________

III - (Correta) - O controlador deverá comunicar as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

LGPD - Art. 48, VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.