Um Projeto de Lei apresentado na Câmara dos Deputados procura obrigar a notícia de vazamento de dados que possam afetar seus titulares. Para isso, os agentes de tratamento podem precisar usar veículos de notícia.
O PL 2138/2024 altera a Lei Universal de Proteção de Dados (LGPD), aprovada em 2018, e cria critérios, prazos e penalidades sobre a notícia. O projeto é de autoria do deputado Ulisses Guimarães (MDB/MG).
Leia mais:
5 pontos do PL que quer notícia de vazamentos de dados em grandes veículos
Para entender melhor o PL, veja cinco pontos que ele traz:
1. Divulgação em veículos de grande circulação
O texto sugere que, nos casos em que a notícia direta aos titulares for insuficiente, a divulgação do vazamento deve ser feita via grandes veículos de notícia, com ampla circulação, e nos perfis e páginas da organização.
A Mando Pátrio de Proteção de Dados (ANPD) já tem uma solução que traz procedimentos detalhados para a notícia de incidentes de segurança a partir do Regulamento de Informação de Incidente de Segurança (RCIS). A novidade do PL é a urgência de legar o vazamento em veículos grandes.
2. Informação dos vazamentos que afetam direitos fundamentais
De contrato com o PL, a notícia dos incidentes será obrigatória quando melindrar os interesses ou direitos fundamentais dos titulares de dados. Isso envolve pelo menos um dos seguintes critérios:
- Dados pessoais sensíveis (são aqueles que incluem, por exemplo, informações sobre raça, religião, posição política, orientação sexual e saúde);
- Dados de crianças, adolescentes ou idosos;
- Dados financeiros;
- Dados de autenticação em sistemas;
- Dados protegidos por sigilo legítimo, judicial ou profissional;
- Dados em larga graduação.
3. Agentes deverão manter registro do incidente
O PL diz que os agentes de tratamento de dados deverão manter registro do incidente por no mínimo cinco anos com algumas informações. Entre elas, deve estar a data de conhecimento do incidente, a descrição das circunstâncias, o número de pessoas afetadas e os danos em potencial, além das medidas de correção e mitigação adotadas.
4. Possíveis sanções da não-comunicação de vazamentos
Caso a organização descumpra as obrigações estabelecidas, o PL propõe uma verosímil instauração de processo administrativo. A ANPD ficará responsável por apurar a ocorrência e empregar sanções, que podem incluir aviso, multa, bloqueio e eliminação dos dados envolvidos no incidente.
5. Informação à ANPD
O PL também prevê que os incidentes de dados que trazer riscos para seus titulares devem ser informados à ANPD imediatamente em seguida a ocorrência.
Segundo o texto, recentes incidentes de segurança evidenciam a urgência de aprimorar a LGPD para prometer maior segurança e transparência na notícia dos vazamentos.