L'Autorité nationale de protection des données (ANPD) a annoncé le 02/05 l'ouverture d'une consultation publique sur le projet de résolution concernant le règlement sur le signalement des incidents de sécurité avec des données personnelles.
La proposition vise à réglementer la disposition de l'article 48 de la loi générale sur la protection des données (LGPD), pour la communication par le responsable du traitement, sur d'éventuels incidents de sécurité impliquant des données personnelles, l'article susmentionné établit que la communication doit au moins contenir : (i) le description de la nature des données personnelles concernées, (ii) les informations sur les titulaires concernés, (iii) l'indication des mesures techniques et de sécurité utilisées pour protéger les données, dans le respect des secrets commerciaux et industriels, (iv) les risques liés à l'incident, (v) les raisons du retard, si la communication n'a pas été immédiate, (vi) les mesures qui ont été ou seront adoptées pour inverser ou atténuer les effets de la perte.
Selon le projet proposé, le processus de communication des incidents de sécurité avec des données personnelles vise à :
- protéger les droits des personnes concernées ;
- assurer l'adoption des mesures nécessaires pour atténuer ou inverser les effets des pertes générées ;
- encourager le principe de responsabilité et d'obligation de rendre compte pour les agents de traitement ;
- promouvoir l’adoption de règles de bonne pratique, de gouvernance et de mesures de prévention et de sécurité appropriées ;
- encourager la promotion d’une culture de protection des données personnelles ;
- veiller à ce que les agents de traitement agissent de manière transparente et établissent une relation de confiance avec la personne concernée ; C'est
- accorder des subventions pour les activités de réglementation, d’inspection et de sanction de l’Autorité nationale de protection des données (ANPD).
Le projet, soumis à consultation publique, aborde également d'autres questions liées aux incidents de sécurité et à leur communication respective, telles que :
- Établit des critères pour signaler les incidents de sécurité ;
- Définit les critères des situations qui représentent un risque ou peuvent causer un préjudice important aux personnes concernées, parmi lesquelles figurent les incidents impliquant : (i) des données sensibles, (ii) des données d'enfants, d'adolescents ou de personnes âgées, (iii) des données financières, ( iv) les données d'authentification dans les systèmes, (v) les données à grande échelle ;
- Il présente des critères qui établissent le potentiel d'atteinte aux intérêts et aux droits fondamentaux des titulaires, en cas d'incidents de sécurité ;
- Établit le délai et les informations qui doivent être incluses dans la déclaration de l'incident à l'ANPD ;
- Établit le délai et les informations qui doivent être incluses dans la communication de l'incident aux titulaires de données personnelles ;
- Décrit les informations et le délai pendant lesquels le responsable du traitement doit conserver un enregistrement des incidents de sécurité impliquant des données personnelles ;
- Décrit les lignes directrices concernant la procédure de signalement et d'enquête sur un incident de sécurité.
Outre les projets de résolution et de règlement proposés, ils sont disponibles pour consultation sur le site de l’ANPD, le rapport d’analyse d’impact de la réglementation et le vote donné par le directeur du reporting sur le sujet.
Les contributions à l'ANPD, sur le règlement de déclaration des incidents de sécurité avec données personnelles, peuvent être faites jusqu'au 31 mai, via la plateforme Participer + Brésil.
