A ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução 15/24, que aprovou o Regulamento de Comunicação de Incidente de Segurança, no âmbito da LGPD.
Ao analisar a resolução, o escritório Di Blasi, Parente & Associados elencou 10 principais pontos do regulamento da ANPD. Confira:
- Qual o objetivo da norma que regulamenta o procedimento para a Comunicação de Incidente de Segurança?
Mitigar ou reverter prejuízos gerados por incidentes; assegurar a responsabilização e a prestação de contas; promover a adoção de boas práticas de governança, prevenção e segurança; e fortalecer a cultura de proteção de dados pessoais no país.
- O que prevê o regulamento?
Um rol de obrigações para os controladores de dados pessoais, com os procedimentos necessários para a comunicação de eventual incidente de segurança, definido pelo regulamento como: “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.
- Quem poderá comunicar o incidente de segurança e qual é o prazo?
O controlador deverá realizar a comunicação do incidente de segurança à ANPD e ao titular, por meio de representante legal ou do encarregado da proteção de dados, no prazo de três dias úteis, a contar da data da ciência do evento que afetou os dados pessoais. As informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da primeira comunicação.
Os prazos para a comunicação, mencionados acima, serão contados em dobro para os agentes de pequeno porte, nos termos do disposto no regulamento de aplicação da LGPD aos agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD 2/22.
- Quando deverá ser realizada a comunicação de incidente de segurança?
O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos seus titulares.
Nesse sentido, entende-se como risco ou dano relevante, aquele que pode afetar significativamente interesses e direitos fundamentais dos titulares, inviabilizando o exercício de direitos ou a utilização de um serviço, ou ainda, ocasionando danos materiais ou morais aos titulares, como nos casos de discriminação, violação à integridade física, ao direito a imagem e a reputação, fraudes financeiras ou roubo de identidade.
Além disso, para a caracterização de risco ou dano relevante, o incidente deverá também envolver, pelo menos, uma das seguintes hipóteses: dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou ainda, quando o incidente atingir dados em larga escala.
- Como deve ser feita a comunicação de incidente de segurança?
A comunicação de incidente de segurança deverá ocorrer por meio de formulário eletrônico disponibilizado pela ANPD, que solicitará dados e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos. O formulário deverá ser protocolado eletronicamente pelo SUPER - Sistema Único de Processo Eletrônico em Rede.
Caberá ao controlador, solicitar à ANPD, de maneira fundamentada, o sigilo das informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial.
- Quais os documentos que poderão ser solicitados pela ANPD?
A ANPD poderá, ainda, solicitar ao controlador, a qualquer tempo, além das informações contidas no formulário, documentos adicionais referentes ao incidente de segurança, inclusive o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais e o relatório de tratamento do incidente ocorrido, estabelecendo um prazo para o envio destas informações e documentos.
- Quais são as consequências para a falta de comunicação do incidente pelo controlador?
A ANPD, caso venha a tomar conhecimento, poderá instaurar procedimento de apuração de incidente de segurança para apurar a ocorrência do incidente, que não tenha sido comunicado pelo controlador. Nesse caso, se constatada a ocorrência de incidente de segurança, a ANPD determinará ao controlador o envio da comunicação à autoridade e aos titulares, observados os prazos e condições descritos no regulamento.
Adicionalmente, a ANPD poderá instaurar processo administrativo sancionador para apurar o descumprimento da obrigação do controlador de comunicar o incidente de segurança à ANPD e ao titular.
- Quais as determinações e medidas preventivas pela ANPD?
A ANPD poderá determinar ao controlador, após avaliar a gravidade do incidente de segurança, a adoção de providências para a salvaguarda dos direitos dos titulares, tais como, a ampla divulgação do incidente em meios de comunicação e a determinação de medidas para reverter ou mitigar os efeitos do incidente.
A ANPD poderá fixar multa diária para assegurar o cumprimento da determinação de tais providências, na forma do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela resolução ANPD 4/23.
- Quando ocorrerá a extinção do processo de comunicação de incidente?
O processo de comunicação de incidente de segurança será declarado extinto caso não sejam identificadas evidências suficientes da ocorrência do incidente; caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares; caso o incidente não envolva dados pessoais; caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou o controlador tenha realizado a comunicação aos titulares e adotado as providências cabíveis, em conformidade com a LGPD, as disposições do regulamento e as determinações da ANPD.
O registro do incidente de segurança deve ser mantido pela organização pelo prazo mínimo de cinco anos.
- Como as organizações podem se preparar no caso de um eventual incidente de segurança?
Por meio de uma governança em privacidade adequada será possível identificar e registrar todo o fluxo do tratamento dos dados pessoais, bem como implementar as medidas de segurança, técnicas e administrativas compatíveis, tendo em vista a mitigação de riscos e eventuais danos.
É fundamental que as organizações tenham pleno conhecimento das suas operações com o uso de dados pessoais, para que seja possível apresentar uma rápida e eficiente resposta em caso de um eventual incidente de segurança.
Adicionalmente, é necessário a organização ter previamente estabelecido um plano de respostas para eventuais incidentes, considerando ainda, todos os critérios, prazos e procedimentos estabelecidos no Regulamento de Comunicação de Incidentes de Segurança aprovado pela ANPD.