Comentário e fundamentação:

O tema central da questão é a comunicação obrigatória de incidentes de segurança envolvendo dados pessoais, conforme estabelecido pela Lei Geral de Proteção de Dados Pessoais (LGPD).

A legislação aplicável encontra-se no art. 48 da LGPD:
“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. [...] A comunicação deverá mencionar, no mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de comunicação não imediata.”

Exemplo prático: Imagine que uma empresa de saúde sofre vazamento de seus registros de pacientes. O controlador deve, em prazo razoável, comunicar à ANPD e aos pacientes, informando natureza dos dados afetados, riscos, medidas tomadas para proteção e observando segredos comerciais.

Alternativa correta: D
A alternativa D resume corretamente dois dos pontos mínimos exigidos pelo art. 48: a descrição da natureza dos dados pessoais afetados e os riscos relacionados ao incidente. Ela está alinhada integralmente à exigência da LGPD.

Alternativas incorretas:

A) Incorreta. A LGPD determina que as medidas técnicas devem ser indicadas, observando os segredos comercial e industrial (art. 48, §1º, III), e não o oposto como afirma a alternativa.

B) Incorreta. A comunicação deve mencionar as medidas tomadas; omitir essas informações contraria a transparência exigida pela lei.

C) Incorreta. Nunca se deve publicar dados dos titulares - isso agravaria a exposição e violaria a privacidade.

E) Incorreta. A lei fala em “prazo razoável” a ser definido pela ANPD, e não em 120 dias. Não há prazo específico de 120 dias na lei.

Pegadinhas: Atenção a detalhes quantitativos (“120 dias”), omissão dos segredos comerciais e sugestões de publicidade excessiva (divulgação de dados dos titulares).

Doutrina: Segundo Danilo Doneda, a transparência na comunicação de incidentes é fundamental para a tutela do titular.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Art. 48, §1º

GABARITO. D

LEI 13709/18

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

revisar

D Correto. A comunicação de incidente de segurança deve conter, no mínimo, a descrição da natureza dos dados pessoais afetados e os riscos relacionados. A LGPD exige transparência para que o titular possa tomar as medidas de proteção necessárias após a violação.

Siga-me @rexconcurseiro

Gabarito letra D

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

IV - os riscos relacionados ao incidente;