Notificação obrigatória
A ocorrência de incidentes de segurança da informação, devem ser notificados à Autoridade de Proteção de Dados e ao usuário titular do dado, em prazo razoável. Embora a Autoridade de Proteção de dados ainda não exista, enquanto ela não for criada, o usuário deve ser obrigatoriamente comunicado.
Etapas da comunicação de vazamento
A descrição da natureza dos dados pessoais afetados
As informações sobre os titulares envolvidos
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial
Os riscos relacionados ao incidente
Os motivos da demora, no caso de a comunicação não ter sido imediata
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Transferência internacional de dados
A LGPD traz uma série de hipóteses que permitem a transferência internacional de dados pessoais. Destaca-se a possibilidade de transferência baseada no consentimento específico do titular para a transferência, que deve ser prévio e separado das demais finalidades e requisições de consentimento. É possível, ainda, realizar a transferência caso haja a garantia, por meio de instrumento contratuais, do controlador no cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei. Em moldes similares à GDPR, a lei permite a transferência por meio de adoção de selos, certificados e códigos de conduta regularmente emitidos e autorizados pela Autoridade Nacional.
Registro do tratamento
Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados, metodologia conhecida como data mapping .
Fonte: