Artigo 18, Parágrafo 1, Inciso II do Decreto nº 9.936 de 24 de Julho de 2019
Regulamenta a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito.
Acessar conteúdo completoArt. 18
Na ocorrência de vazamento de informações de cadastrados ou de outro incidente de segurança que possa acarretar risco ou prejuízo relevante a cadastrados, o gestor de banco de dados comunicará o fato:
I
à Autoridade Nacional de Proteção de Dados, na hipótese de ocorrência que envolva o fornecimento de dados de pessoas naturais;
II
ao Banco Central do Brasil, na hipótese de ocorrência que envolva o fornecimento de dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil; e
III
à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, na hipótese de ocorrência que envolva o fornecimento de dados de consumidores.
§ 1º
A comunicação de que trata o caput será feita no prazo de dois dias úteis, contado da data do conhecimento do incidente, e mencionará, no mínimo:
I
a descrição da natureza dos dados pessoais afetados;
II
as informações sobre os cadastrados envolvidos;
III
a indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive os procedimentos de encriptação;
IV
os riscos relacionados ao incidente; e
V
as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º
No juízo de gravidade do incidente de que trata o caput , será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis para terceiros não autorizados a acessá-los.
§ 3º
Será obrigatória a pronta comunicação aos cadastrados afetados pelo incidente de segurança de que trata este artigo.