É fundamental estruturar, definir e formalizar um processo de Gestão de Incidentes, visando contemplar planos de resposta à incidentes relacionados ao tema de privacidade de dados. Esse plano deve conter procedimentos e diretrizes que orientem as áreas envolvidas na identificação, monitoramento, remediação e reporte de incidentes de violação de dados, bem como abordar a categorização de um incidente de violação de dados e o seu registro nas ferramentas.

Deve ser definido um processo de comunicação formal com as autoridades de proteção de dados e os titulares de dados. Essa comunicação deve ter o envolvimento do Encarregado de Dados (DPO) da empresa e deve ser realizada dentro dos prazos estabelecidos pela LGPD. O processo de notificação de violação de dados deve conter:

• A identidade e o contato do encarregado de dados e outras partes relevantes da empresa;
• Descrição das possíveis consequências (riscos) da violação de dados;
• Descrição da natureza da violação, informando quais e a quantidade de titulares que foram afetados;
• Medidas técnicas e organizacionais aplicadas para mitigar as consequências dessa violação.

Edna Menezes é instrutora do curso Certificação em Proteção de Dados da Assespro-MG, diretora executiva da RPP Tecnologia e sócia-diretora da empresa Tributarie Eficiência.