A Lei Geral de Proteção de Dados (“LGPD”) prevê em seu artigo 48, a necessidade de comunicação pelo controlador tanto ao titular dos dados quanto à ANPD sobre a ocorrência de “incidente de segurança que possa trazer risco ou dano relevante aos titulares”, o artigo, no entanto, deixa em aberto o prazo da referida notificação (parágrafo 1º), a ser definido pela autoridade, bem como prevê a aplicação da discricionariedade da ANPD para verificação da gravidade do incidente para assim, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências tais como: (i) ampla divulgação do fato em meios de comunicação; e (ii) medidas para reverter ou mitigar os efeitos do incidente (parágrafo 2º).
Conforme a Nota Técnica de tomada de subsídio no tema, a ANPD entende ser importante que “em conjunto com a sociedade, a ANPD construa limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daqueles cuja ameaça, se houver, pode ser desconsiderada”, para definir com clareza os aspectos trazidos no caput, e no parágrafo 2º do artigo 48 da LGPD, bem como uma regulamentação exata sobre o prazo a ser adotado, que pode ou não se basear em experiências internacionais.
Nesse sentido, a autoridade abre tomada de subsídio no tema, com perguntas versando sobre, por exemplo, critérios para avaliação de risco ou dano relevante pela ANPD; distinção entre risco ou dano; considerações que devem ser feitas na avaliação de risco ou dano; informações que os controladores devem apresentar à ANPD e aos titulares; definição do prazo razoável para informar tanto a ANPD quanto os titulares; e possíveis exceções quanto à obrigatoriedade de informar a ANPD e os titulares.