Comentário do Gabarito – LGPD e Incidentes de Segurança

Interpretação: A questão aborda a obrigação do controlador frente a um incidente de segurança com dados pessoais, conforme a Lei nº 13.709/2018 (LGPD), especialmente o que deve ser comunicado à ANPD e aos titulares.

Base Legal:
LGPD, art. 48: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
§1º – a comunicação deve conter, no mínimo:

• I – a descrição da natureza dos dados pessoais afetados;
• II – informações sobre os titulares envolvidos;
• III – indicação das medidas técnicas e de segurança utilizadas, observados os segredos comercial e industrial;
• IV – riscos relacionados ao incidente;
• V – motivos da demora, se não houver comunicação imediata;
• VI – medidas para reverter/mitigar efeitos do prejuízo.

Tema central: A questão exige atenção ao detalhamento das comunicações obrigatórias e à proteção de informações sigilosas (como segredos comerciais).

Exemplo prático: Imagine um hospital cuja base de dados foi acessada por terceiros de modo indevido. Ele deve comunicar à ANPD e aos pacientes afetados, detalhando os itens do art. 48. No entanto, não deve divulgar detalhes técnicos internos que revelem segredos industriais, limitando a exposição.

Alternativa Correta – Letra B:
“a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, mesmo que envolvam segredos comercial e industrial”.
Justificativa: O controlador não é obrigado a expor segredos industriais ou comerciais. O art. 48, §1º, III, impõe esse limite: “observados os segredos comercial e industrial”.

Análise das Alternativas Incorretas:

• A, C, D e E: Todas correspondem a obrigações explícitas do art. 48 da LGPD: descrição da natureza dos dados, motivos de eventual demora, medidas para reverter ou mitigar efeitos, e riscos relacionados ao incidente.

Pegadinha: Atenção à expressão “mesmo que envolvam segredos”: justamente aqui está o erro. A LGPD deixa claro que este conteúdo não precisa ser detalhado se envolver segredo comercial ou industrial.

Jurisprudência: O relatório da ANPD (Relatório de Instrução nº 2/2023) confirma a importância do respeito a segredos industriais e à boa-fé nas comunicações.

Doutrina: Bruno Bioni destaca a necessidade de equilíbrio entre transparência e proteção de ativos estratégicos (obra: “Proteção de Dados Pessoais – A função e os limites do consentimento”).

Resumo: O controlador deve comunicar todos os itens do art. 48, exceto informações protegidas por segredo comercial/industrial.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo