Migalhas Quentes

Entenda regras da ANPD para comunicação de incidente de segurança

O escritório Di Blasi, Parente & Associados elencou os principais pontos da resolução aprovada.

3/6/2024

A ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução 15/24, que aprovou o Regulamento de Comunicação de Incidente de Segurança, no âmbito da LGPD.

Ao analisar a resolução, o escritório Di Blasi, Parente & Associados elencou 10 principais pontos do regulamento da ANPD. Confira:

Mitigar ou reverter prejuízos gerados por incidentes; assegurar a responsabilização e a prestação de contas; promover a adoção de boas práticas de governança, prevenção e segurança; e fortalecer a cultura de proteção de dados pessoais no país.

Um rol de obrigações para os controladores de dados pessoais, com os procedimentos necessários para a comunicação de eventual incidente de segurança, definido pelo regulamento como: “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.

O controlador deverá realizar a comunicação do incidente de segurança à ANPD e ao titular, por meio de representante legal ou do encarregado da proteção de dados, no prazo de três dias úteis, a contar da data da ciência do evento que afetou os dados pessoais. As informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da primeira comunicação.

Os prazos para a comunicação, mencionados acima, serão contados em dobro para os agentes de pequeno porte, nos termos do disposto no regulamento de aplicação da LGPD aos agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD 2/22.

O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos seus titulares.

Nesse sentido, entende-se como risco ou dano relevante, aquele que pode afetar significativamente interesses e direitos fundamentais dos titulares, inviabilizando o exercício de direitos ou a utilização de um serviço, ou ainda, ocasionando danos materiais ou morais aos titulares, como nos casos de discriminação, violação à integridade física, ao direito a imagem e a reputação, fraudes financeiras ou roubo de identidade.

Além disso, para a caracterização de risco ou dano relevante, o incidente deverá também envolver, pelo menos, uma das seguintes hipóteses: dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou ainda, quando o incidente atingir dados em larga escala.

A comunicação de incidente de segurança deverá ocorrer por meio de formulário eletrônico disponibilizado pela ANPD, que solicitará dados e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos. O formulário deverá ser protocolado eletronicamente pelo SUPER - Sistema Único de Processo Eletrônico em Rede.

Caberá ao controlador, solicitar à ANPD, de maneira fundamentada, o sigilo das informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial.

A ANPD poderá, ainda, solicitar ao controlador, a qualquer tempo, além das informações contidas no formulário, documentos adicionais referentes ao incidente de segurança, inclusive o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais e o relatório de tratamento do incidente ocorrido, estabelecendo um prazo para o envio destas informações e documentos.

A ANPD, caso venha a tomar conhecimento, poderá instaurar procedimento de apuração de incidente de segurança para apurar a ocorrência do incidente, que não tenha sido comunicado pelo controlador. Nesse caso, se constatada a ocorrência de incidente de segurança, a ANPD determinará ao controlador o envio da comunicação à autoridade e aos titulares, observados os prazos e condições descritos no regulamento.

Adicionalmente, a ANPD poderá instaurar processo administrativo sancionador para apurar o descumprimento da obrigação do controlador de comunicar o incidente de segurança à ANPD e ao titular.

A ANPD poderá determinar ao controlador, após avaliar a gravidade do incidente de segurança, a adoção de providências para a salvaguarda dos direitos dos titulares, tais como, a ampla divulgação do incidente em meios de comunicação e a determinação de medidas para reverter ou mitigar os efeitos do incidente.

A ANPD poderá fixar multa diária para assegurar o cumprimento da determinação de tais providências, na forma do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela resolução ANPD 4/23.

O processo de comunicação de incidente de segurança será declarado extinto caso não sejam identificadas evidências suficientes da ocorrência do incidente; caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares; caso o incidente não envolva dados pessoais; caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou o controlador tenha realizado a comunicação aos titulares e adotado as providências cabíveis, em conformidade com a LGPD, as disposições do regulamento e as determinações da ANPD.

O registro do incidente de segurança deve ser mantido pela organização pelo prazo mínimo de cinco anos.

Por meio de uma governança em privacidade adequada será possível identificar e registrar todo o fluxo do tratamento dos dados pessoais, bem como implementar as medidas de segurança, técnicas e administrativas compatíveis, tendo em vista a mitigação de riscos e eventuais danos.

É fundamental que as organizações tenham pleno conhecimento das suas operações com o uso de dados pessoais, para que seja possível apresentar uma rápida e eficiente resposta em caso de um eventual incidente de segurança.

Adicionalmente, é necessário a organização ter previamente estabelecido um plano de respostas para eventuais incidentes, considerando ainda, todos os critérios, prazos e procedimentos estabelecidos no Regulamento de Comunicação de Incidentes de Segurança aprovado pela ANPD.

ANPD aprova regulamento para comunicar incidente de segurança.(Imagem: Artes Migalhas/Freepik)

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

ANPD condena INSS por vazamento de dados

5/2/2024
Migalhas Quentes

ANPD indica aumento de 54% em notificações de falhas de segurança

8/9/2023
Migalhas de Peso

Novo formulário da ANPD para comunicação de incidentes de segurança

9/1/2023

Notícias Mais Lidas

Aprovado em concurso do TRT-2 descobre que homônimo “roubou” sua vaga

4/11/2024

Inseminação caseira: Veja impacto jurídico da prática não regulada no país

4/11/2024

Comissão da Câmara aprova piso salarial para advogados privados

2/11/2024

Justiça faz "milagre" frente à alta demanda do Brasil, diz desembargadora

4/11/2024

TJ/DF manda Banco do Brasil restituir R$ 90 mil a idosa que caiu em golpe

2/11/2024

Artigos Mais Lidos

Tema 1348 do STF: Imunidade do ITBI nas holdings e seus impactos

4/11/2024

Direito ao distrato em casos de atraso na obra: O que diz a lei

4/11/2024

Seria o vínculo trabalhista a única forma de proteção social?

4/11/2024

Os contratos de distribuição e seus aspectos jurídicos em mercados regulados: O setor farmacêutico

4/11/2024

Por um jogo mais responsável

4/11/2024