Flag of United Kingdom

LGPD

close

Artigo 48

Incidentes de Segurança de dados pessoais

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

  • 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
    • I - a descrição da natureza dos dados pessoais afetados;
    • II - as informações sobre os titulares envolvidos;
    • III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
    • IV - os riscos relacionados ao incidente;
    • V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
    • VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
  • 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
    • I - ampla divulgação do fato em meios de comunicação; e
    • II - medidas para reverter ou mitigar os efeitos do incidente.
  • 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.