Artigo 148, Parágrafo 1, Inciso I da Resolução CNMP nº 281 de 12 de Dezembro de 2023
Institui a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais no Ministério Público e dá outras providências.
Art. 148
O controlador, ao tomar conhecimento do incidente de segurança relativo ao tratamento de dados pessoais com possibilidade de causar dano relevante aos titulares, comunicará à UEPDAP, sem demora injustificada, sempre que possível no prazo de até 72 (setenta e duas) horas.
§ 1º
A comunicação deverá conter, no mínimo:
I
a descrição da natureza do incidente incluindo, se possível, as informações sobre o número aproximado de titulares de dados afetados, bem como a natureza e o número aproximado de registros de dados pessoais em causa;
II
o nome e o contato do encarregado da proteção de dados pessoais;
III
a descrição das consequências prováveis do vazamento; e
IV
a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, observadas as hipóteses de sigilo legal, além das medidas que foram ou que serão adotadas para reverter ou mitigar os prejuízos.
§ 2º
A comunicação das informações acerca do incidente de vazamento não importará na remessa dos dados pessoais vazados e das bases nas quais esses se encontram.
§ 3º
A comunicação prevista no caput deste artigo, em hipóteses de tratamento de dados pessoais para fins de segurança pública, de segurança institucional, de assuntos institucionais e jurídicos ou, ainda, por questão de natureza estratégica, deve ser destinada à UEPDAP com a informação classificada como de sigilo absoluto.