O RGPD

Regulamento Geral sobre a Proteção de Dados (RGPD), em seu artigo 33.º determina que, em caso de violação de dados pessoais, o responsável pelo tratamento notifica a autoridade de controlo competente em até 72 horas após ter tido conhecimento da mesma. Caso a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares, fica dispensada a notificação. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

Artigo 34.º

O artigo 34.º dispõe que, quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deverá comunicar a violação de dados pessoais ao titular dos dados sem demora injustificada. Contudo, caso o responsável pelo tratamento tenha aplicado medidas de proteção adequadas que tornem os dados incompreensíveis, ou tenha adotado ações subsequentes que assegurem a não concretização do risco para direitos e liberdades dos titulares dos dados, a notificação deixa de ser necessária.

A LGPD

Lei Geral de Proteção de Dados (LGPD), no artigo 48 especifica que o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Enquanto o RGPD estipulou o prazo de 72 horas para comunicação, a LGPD limitou-se a dizer que a notificação da violação de dados à autoridade de supervisão deve ser feita em “prazo razoável”, prazo que a própria autoridade controladora deverá definir, conforme parágrafo primeiro do citado artigo 48.

Ressalto que o RGPD é um regulamento e, portanto, a objetividade permeia seus termos, estabelecendo regras específicas para diferentes situações.

A LGPD, contudo, é uma lei, com conceitos abertos e subjetivos, que serão regulamentados pela ANPD – Autoridade Nacional de Proteção de Dados.

A ANPD, ainda não concretizada por inércia do Poder Federal, deverá suprir as lacunas existentes na LGPD.

A proteção de dados pessoais no Brasil não sofre apenas pela falta da Autoridade de Controle, agoniza também quanto a sua vigência: agosto de 2020 ou 3 de maio de 2021?