L'ANPD apre la Consultazione Pubblica sulla Comunicazione degli Incidenti di Sicurezza contenenti Dati Personali

L'Autorità Nazionale per la Protezione dei Dati Personali (ANPD) ha annunciato in data 02/05 l'apertura di una Consultazione Pubblica sulla proposta di delibera relativa al Regolamento per la segnalazione degli incidenti di sicurezza riguardanti dati personali.

La proposta mira a disciplinare la disposizione dell'articolo 48 della Legge generale sulla protezione dei dati (LGPD), per la comunicazione da parte del titolare del trattamento di eventuali incidenti di sicurezza che coinvolgono dati personali, il suddetto articolo stabilisce che la comunicazione deve almeno contenere: (i) il la descrizione della natura dei dati personali interessati, (ii) le informazioni sui titolari coinvolti, (iii) l'indicazione delle misure tecniche e di sicurezza adottate per proteggere i dati, nel rispetto dei segreti commerciali e industriali, (iv) i rischi connessi ai l'incidente, (v) le ragioni del ritardo, se la comunicazione non è stata immediata, (vi) le misure che sono state o saranno adottate per invertire o mitigare gli effetti della perdita.

Secondo la bozza proposta, il processo di comunicazione degli incidenti di sicurezza con dati personali mira a:

• tutelare i diritti degli interessati;
• assicurare l'adozione delle misure necessarie per mitigare o invertire gli effetti delle perdite generate;
• incoraggiare il principio di responsabilità e responsabilità per gli agenti di lavorazione;
• promuovere l’adozione di regole di buona pratica, di governance e di adeguate misure di prevenzione e sicurezza;
• incoraggiare la promozione di una cultura della protezione dei dati personali;
• garantire che gli agenti del trattamento agiscano in modo trasparente e instaurino un rapporto di fiducia con l'interessato; È
• erogare finanziamenti per le attività di regolamentazione, controllo e sanzione dell'Autorità nazionale per la protezione dei dati (ANPD).

La bozza, oggetto di consultazione pubblica, affronta anche altre questioni riguardanti incidenti di sicurezza e la relativa comunicazione, quali:

• Stabilisce i criteri per la segnalazione degli incidenti di sicurezza;
• Definisce i criteri per le situazioni che rappresentano un rischio o possono causare danni significativi agli interessati, e tra questi vi sono incidenti che coinvolgono: (i) dati sensibili, (ii) dati di bambini, adolescenti o anziani, (iii) dati finanziari, ( iv) dati di autenticazione nei sistemi, (v) dati su larga scala;
• Presenta criteri che stabiliscono il potenziale di lesione degli interessi e dei diritti fondamentali dei titolari, in caso di incidenti di sicurezza;
• Stabilisce il termine e le informazioni che devono essere incluse nella segnalazione dell'incidente all'ANPD;
• Stabilisce il termine e le informazioni che devono essere incluse nella comunicazione dell'incidente ai titolari di dati personali;
• Descrive le informazioni e il termine entro il quale il titolare del trattamento deve conservare un registro degli incidenti di sicurezza che coinvolgono dati personali;
• Descrive le linee guida relative alla procedura per segnalare e indagare su un incidente di sicurezza.

Oltre ai progetti di risoluzione e regolamenti proposti, sono disponibili per la consultazione su site dell'ANPD, del Rapporto Analisi di Impatto Regolatorio e del voto espresso dal Consigliere Relatore sul tema.

I contributi all'ANPD, sul Regolamento per la segnalazione degli incidenti di sicurezza con dati personali, possono essere presentati fino al 31 maggio, attraverso la piattaforma Partecipa + Brasile.