Artigo 150, Parágrafo 3, Inciso II da Resolução CNMP nº 281 de 12 de Dezembro de 2023
Institui a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais no Ministério Público e dá outras providências.
Art. 150
Quando o incidente de segurança relativo ao tratamento for suscetível de criar um relevante risco para os direitos e as liberdades das pessoas naturais e, também, quando o controlador ou o encarregado entenderem oportuno, os titulares de dados pessoais e a ANPD deverão ser informados sem demora injustificada, a fim de permitir que tomem as precauções necessárias, devendo constar da comunicação a natureza da violação de dados pessoais e as recomendações destinadas a atenuar potenciais efeitos adversos.
§ 1º
A comunicação poderá ser atrasada, restrita ou omitida, se se tratar de atividade institucional sigilosa ou protegida por lei, e nas hipóteses tratadas no art. 77 desta Resolução.
§ 2º
A UEPDAP poderá dispor a respeito de outras hipóteses complementares de restrição à comunicação dos incidentes de segurança aos titulares dos dados pessoais.
§ 3º
A comunicação não será exigida se:
I
o responsável pelo tratamento de dados pessoais tiver aplicado medidas de proteção adequadas, tanto tecnológicas como administrativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação, especialmente medidas que os tornem incompreensíveis para qualquer pessoa não autorizada a acessá-los, como, por exemplo, a criptografia; ou
II
o responsável pelo tratamento de dados pessoais tiver tomado medidas subsequentes capazes de assegurar que a ocorrência de relevante risco para os direitos e as liberdades dos titulares referida no caput deixou de ser provável.