Artigo 48, Parágrafo 1, Inciso VI da Lei Geral de Proteção de Dados Pessoais | Lei nº 13.709 de 14 de Agosto de 2018

Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).

Art. 48

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º

A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I

a descrição da natureza dos dados pessoais afetados;

II

as informações sobre os titulares envolvidos;

III

a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV

os riscos relacionados ao incidente;

V

os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI

as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º

A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I

ampla divulgação do fato em meios de comunicação; e

II

medidas para reverter ou mitigar os efeitos do incidente.

§ 3º

No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.