Primeiramente, deve-se frisar que não existe método de segurança à prova de falhas. Neste sentido, mesmo que todo o controle e medidas de segurança sejam implementados, por menor que seja, sempre haverá a possibilidade um incidente de segurança ocorrer.

Isto posto, é oportuno destacar que o caput do art. 48 da legislação afirma que o controlador deverá comunicar à autoridade nacional e ao titular de dados a ocorrência de quaisquer incidentes de segurança, que possam acarretar risco ou dano relevante aos titulares. O conceito de “dano relevante” não é definido pela Lei, motivo pelo qual espera-se que haja alguma regulamentação futura sobre o tema.

Em qualquer caso, a atitude mais prudente é a atuação com a boa-fé, e uma vez identificado o incidente, aconselha-se que este seja informado tanto à ANPD quanto ao titular, fazendo jus ao princípio de transparência, estampado no art. 6o, inciso VI.

A título de destaque, o §2o do art. 48, dispõe que a ANPD realizará um juízo de ponderação acerca do incidente de segurança, podendo, aos seus próprios critérios, impor ao controlador a obrigação de tomar todas as medidas necessárias para reverter ou mitigar as consequências do incidente, podendo inclusive ordenar que o controlador dê ampla divulgação do mesmo nos meios de comunicação. Nesta análise da gravidade do incidente, a ANPD também verificará, nos termos do §3o, o grau de confidencialidade das informações vazadas, ou seja, se teriam sido aplicados métodos de criptografia, anonimização ou pseudonimização das informações previamente ao incidente, tornando-as ilegíveis a terceiros não autorizados, a fim de determinar as medidas cabíveis.