Um incidente de segurança relacionado a dados pessoais refere-se a qualquer evento adverso confirmado que envolva a violação da segurança dessas informações. Isso pode incluir acessos não autorizados, acidentais ou ilícitos, resultando em destruição, perda, alteração, vazamento ou qualquer forma inadequada, ou ilícita de tratamento de dados, representando potenciais riscos para os direitos e liberdades do titular dos dados pessoais.

A Lei Geral de Proteção de Dados (LGPD) estabelece a obrigação para os agentes de tratamento de dados pessoais de implementarem medidas de segurança, tanto técnicas quanto administrativas, capazes de proteger essas informações contra acessos não autorizados, assim como situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer tipo de tratamento inadequado, ou ilícito.

O vazamento de dados pessoais, um dos incidentes de segurança mais conhecidos, ocorre quando informações são indevidamente acessadas, coletadas, divulgadas ou repassadas a terceiros. Os danos ao titular desses dados podem manifestar-se de diversas formas, como fraudes, tentativas de golpes, uso indevido das informações ou venda dos dados.

No caso de um incidente de segurança envolvendo dados pessoais, uma organização deve seguir os seguintes passos:

1. Avaliar internamente o incidente, considerando a natureza, categoria e quantidade de titulares de dados pessoais afetados, bem como a categoria e quantidade dos dados afetados, além das consequências concretas e prováveis;
2. Comunicar o incidente ao encarregado designado para proteção de dados;
3. Se a organização for o operador dos dados, comunicar o incidente ao controlador, conforme estipulado pela LGPD;
4. Comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados, especialmente em casos de risco ou dano relevante a esses titulares;
5. Elaborar documentação detalhada, incluindo a avaliação interna do incidente, as medidas adotadas e uma análise de risco. Essa documentação é essencial para cumprir o princípio de responsabilização e prestação de contas.

Para comunicar incidentes com dados pessoais, utilize o formulário disponível aqui para o formulário e envie-o para: dpo@epsoft.com.br