"As organizações devem redobrar seu compromisso com técnicas seguras de coleta, tratamento e armazenamento de dados."
Após a Consulta Pública promovida pela ANPD - Autoridade Nacional de Proteção de Dados, foi publicada em 26/4/24 pelo Conselho Diretor a Resolução CD/ANPD 15, que aprova o Regulamento de Comunicação de Incidente de Segurança em seu texto com 24 artigos. Este novo regulamento estabelece regras e procedimentos para lidar com incidentes de segurança, definido em seu art. 3º, XII como “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.
A regulamentação deste tema era muito esperada, pois a LGPD exige a comunicação de incidentes de segurança à ANPD e aos titulares envolvidos, entretanto, sem detalhar os procedimentos e requisitos necessários. Com advento do Regulamento, algumas das lacunas deixadas pela LGPD foram preenchidas, proporcionando maior segurança jurídica aos agentes de tratamento de dados.
Entre as principais inovações do Regulamento está o prazo para a comunicação de incidentes pelo controlador, previsto no art. 6º, que foi fixado em 3 dias úteis a partir do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais.
Adicionalmente em seu art. 10, o Regulamento exige que todos os incidentes de segurança, comunicados ou não, sejam registrados e mantidos pelo controlador por um período de no mínimo 5 anos.
A norma também prevê consequências para os controladores responsáveis por incidentes de segurança. Sendo que com as novas diretrizes do Regulamento, o descumprimento das regras de comunicação de incidentes de segurança pode resultar na instauração de processo administrativo sancionador.
As organizações devem redobrar seu compromisso com técnicas seguras de coleta, tratamento e armazenamento de dados, além de garantir que seus processos de registro e comunicação de incidentes estejam em conformidade com as exigências da ANPD.
Alcançar esse nível de conformidade é possível mediante a implementação de um programa de governança em privacidade que seja tanto estratégico quanto continuamente atualizado, assegurando que todas as práticas e políticas estejam em alinhamento com as regulamentações mais recentes e melhores práticas do setor.