Communication of security incidents in the General Data Protection Law
the definition of the deadline through Regulatory Impact Analysis as an indispensable instrument for the enforcement of the National Data Protection Authority
DOI:
https://doi.org/10.25245/rdspp.v12i1.1493Keywords:
General Data Protection Regulation, security incident, communication, National Data Protection Authority, regulationAbstract
When security incidents involving data protected by the General Data Protection Law occur, the regulations require that there be timely communication to the National Data Protection Authority and, if there is not, sanctions could be applied, under the terms of art. 52 of the LGPD. However, there is no deadline previously established by legal or regulatory instruments. Thus, the research problem of this article can be expressed by the following question: are the administrative sanctions applied by the National Data Protection Authority for failure to notify the person in charge of the occurrence of security incidents within the period suggested by the special authority valid? Two objectives are established to answer this question: 1) to verify the ANPD's regulatory competence from the perspective of the Laws on Agencies, the Economic Freedom Law (LLE), as well as Decree No. 10.411/2020; and 2) to identify the nature of the regulatory problem and demonstrate the need for prior preparation of a Regulatory Impact Assessment (RIA) to apply sanctions in the factual situation under analysis. It is concluded that the administrative sanctions applied by the National Data Protection Authority for failure to notify the person in charge of the occurrence of security incidents without prior stipulation of an appropriate deadline through RIA are not valid, under penalty of violation of the constitutional principle of legality, art. 5 of the LLE and art. 6 of the Law
References
ARAGÃO, Alexandre. 5 grandes vazamentos de dados no Brasil — e suas consequências. JOTA. 2022. Disponível em: https://www.jota.info/tributos-e-empresas/mercado/vazamentos-de-dados-no-brasil-28012022. Acesso em: 08 dez. 2023.
BRASIL. ANPD fiscaliza incidente do Ministério da Saúde e Conecte SUS. Autoridade Nacional de Proteção de Dados. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-fiscaliza-incidente-ao-site-do-conectsus. Acesso em: 08 dez. 2023.
BRASIL. ANPD prorroga prazo da consulta pública sobre o Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. Autoridade Nacional de Proteção de Dados. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-prorroga-prazo-da-consulta-publica-sobre-o-regulamento-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais. Acesso em: 08 dez. 2023.
BRASIL. Comunicação de incidente de segurança. Autoridade Nacional de Proteção de Dados. 2022 (Atualizado em 31/05/2023). Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis. Acesso em: 08 dez. 2023.
BRASIL. Formulário de comunicação de incidente de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD). ANPD. 2021.
BRASIL. Lei da Liberdade Econômica. Lei n. 13.874 de 20 de setembro de 2019. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 20 set. 2019.
BRASIL. Lei das Agências. Lei n. 13.848 de 25 de junho de 2019. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 25 jun. 2019.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei n. 13.709 de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 14 ago. 2018.
DINIZ, M. Localiza confirma incidente de segurança cibernética; grupo hacker assume autoria. InfoMoney. 2022. Disponível em: https://www.infomoney.com.br/mercados/localiza-confirma-incidente-de-seguranca-cibernetica-grupo-hacker-assume-autoria/. Acesso em: 08 dez. 2023.
G1. Ataque hacker tira do ar site do Ministério da Saúde e o ConecteSUS. Jornal Nacional. 2021. Disponível em: https://g1.globo.com/jornal-nacional/noticia/2021/12/10/ataque-hacker-ao-site-do-ministerio-da-saude-tira-do-ar-o-conectesus.ghtml. Acesso em: 08 dez. 2023.
LIMA, K. Além dos efeitos do ataque hacker, usuários do ConecteSUS sofrem com erros nos cadastros . G1. 2021. Disponível em: https://g1.globo.com/saude/noticia/2021/12/11/alem-dos-efeitos-do-ataque-hacker-usuarios-do-conectesus-sofrem-com-erros-nos-cadastros.ghtml. Acesso em: 08 dez. 2023.
MULHOLLAND, C. GOMES, R. D. de P. Encarregado empregado: problemas de responsabilidade civil na LGPD e no Código Civil. Migalhas. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/347010/encarregado-empregado-problemas-de-responsabilidade-civil-na-lgpd. Acesso em: 08 dez. 2023.
