O controlador deve, nos termos do art.37 da LGPD, manter os registros das operações de tratamento de dados pessoais que a empresa realize, especialmente quando baseado no legítimo interesse.
Em caso de incidente, a empresa deve estar preparada para comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular do dado pessoal violado, o mais breve possível, recomenda-se que isso seja feito em até 48 horas da ciência do incidente.
A ANPD divulgou recentemente em seu sítio eletrônico, um formulário padrão para o envio deste comunicado e tratou ainda, de conceituar o que é um incidente.
Para evitar esse tipo de problema e sofrer as sanções previstas no art.52 da LGPD, crie um plano de comunicação, mantenha backups externos de arquivos e logs de acesso, tenha o controle de acessos dos funcionários, caso haja colaboradores em home office, limite o acesso remoto, teste com frequência as vulnerabilidades de softwares (VPNs), trate os dados com segurança e sigilo, tenha uma política de segurança da informação, construa boas práticas de governança, tenha um equipe multidisciplinar preparada para tomar decisões rápidas em caso de incidente, e por último, mas não menos importante, invista em tecnologia.
Ficou com alguma dúvida? Entre em contato conosco.
