Migalhas Quentes

Entenda regras da ANPD para comunicação de incidente de segurança

O escritório Di Blasi, Parente & Associados elencou os principais pontos da resolução aprovada.

3/6/2024

A ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução 15/24, que aprovou o Regulamento de Comunicação de Incidente de Segurança, no âmbito da LGPD.

Ao analisar a resolução, o escritório Di Blasi, Parente & Associados elencou 10 principais pontos do regulamento da ANPD. Confira:

Mitigar ou reverter prejuízos gerados por incidentes; assegurar a responsabilização e a prestação de contas; promover a adoção de boas práticas de governança, prevenção e segurança; e fortalecer a cultura de proteção de dados pessoais no país.

Um rol de obrigações para os controladores de dados pessoais, com os procedimentos necessários para a comunicação de eventual incidente de segurança, definido pelo regulamento como: “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.

O controlador deverá realizar a comunicação do incidente de segurança à ANPD e ao titular, por meio de representante legal ou do encarregado da proteção de dados, no prazo de três dias úteis, a contar da data da ciência do evento que afetou os dados pessoais. As informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da primeira comunicação.

Os prazos para a comunicação, mencionados acima, serão contados em dobro para os agentes de pequeno porte, nos termos do disposto no regulamento de aplicação da LGPD aos agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD 2/22.

O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos seus titulares.

Nesse sentido, entende-se como risco ou dano relevante, aquele que pode afetar significativamente interesses e direitos fundamentais dos titulares, inviabilizando o exercício de direitos ou a utilização de um serviço, ou ainda, ocasionando danos materiais ou morais aos titulares, como nos casos de discriminação, violação à integridade física, ao direito a imagem e a reputação, fraudes financeiras ou roubo de identidade.

Além disso, para a caracterização de risco ou dano relevante, o incidente deverá também envolver, pelo menos, uma das seguintes hipóteses: dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou ainda, quando o incidente atingir dados em larga escala.

A comunicação de incidente de segurança deverá ocorrer por meio de formulário eletrônico disponibilizado pela ANPD, que solicitará dados e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos. O formulário deverá ser protocolado eletronicamente pelo SUPER - Sistema Único de Processo Eletrônico em Rede.

Caberá ao controlador, solicitar à ANPD, de maneira fundamentada, o sigilo das informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial.

A ANPD poderá, ainda, solicitar ao controlador, a qualquer tempo, além das informações contidas no formulário, documentos adicionais referentes ao incidente de segurança, inclusive o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais e o relatório de tratamento do incidente ocorrido, estabelecendo um prazo para o envio destas informações e documentos.

A ANPD, caso venha a tomar conhecimento, poderá instaurar procedimento de apuração de incidente de segurança para apurar a ocorrência do incidente, que não tenha sido comunicado pelo controlador. Nesse caso, se constatada a ocorrência de incidente de segurança, a ANPD determinará ao controlador o envio da comunicação à autoridade e aos titulares, observados os prazos e condições descritos no regulamento.

Adicionalmente, a ANPD poderá instaurar processo administrativo sancionador para apurar o descumprimento da obrigação do controlador de comunicar o incidente de segurança à ANPD e ao titular.

A ANPD poderá determinar ao controlador, após avaliar a gravidade do incidente de segurança, a adoção de providências para a salvaguarda dos direitos dos titulares, tais como, a ampla divulgação do incidente em meios de comunicação e a determinação de medidas para reverter ou mitigar os efeitos do incidente.

A ANPD poderá fixar multa diária para assegurar o cumprimento da determinação de tais providências, na forma do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela resolução ANPD 4/23.

O processo de comunicação de incidente de segurança será declarado extinto caso não sejam identificadas evidências suficientes da ocorrência do incidente; caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares; caso o incidente não envolva dados pessoais; caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou o controlador tenha realizado a comunicação aos titulares e adotado as providências cabíveis, em conformidade com a LGPD, as disposições do regulamento e as determinações da ANPD.

O registro do incidente de segurança deve ser mantido pela organização pelo prazo mínimo de cinco anos.

Por meio de uma governança em privacidade adequada será possível identificar e registrar todo o fluxo do tratamento dos dados pessoais, bem como implementar as medidas de segurança, técnicas e administrativas compatíveis, tendo em vista a mitigação de riscos e eventuais danos.

É fundamental que as organizações tenham pleno conhecimento das suas operações com o uso de dados pessoais, para que seja possível apresentar uma rápida e eficiente resposta em caso de um eventual incidente de segurança.

Adicionalmente, é necessário a organização ter previamente estabelecido um plano de respostas para eventuais incidentes, considerando ainda, todos os critérios, prazos e procedimentos estabelecidos no Regulamento de Comunicação de Incidentes de Segurança aprovado pela ANPD.

ANPD aprova regulamento para comunicar incidente de segurança.(Imagem: Artes Migalhas/Freepik)

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

ANPD condena INSS por vazamento de dados

5/2/2024
Migalhas Quentes

ANPD indica aumento de 54% em notificações de falhas de segurança

8/9/2023
Migalhas de Peso

Novo formulário da ANPD para comunicação de incidentes de segurança

9/1/2023

Notícias Mais Lidas

"Vale-peru"? TJ/MT fixa R$ 10 mil de auxílio-alimentação em dezembro

19/12/2024

Bosch é condenada a pagar R$ 1,7 mi por fraude em perícias judiciais

19/12/2024

iFood é multada por designar representante hospitalizado em audiência

19/12/2024

PEC que limita supersalários de servidores é aprovada pelo Congresso

20/12/2024

MP/BA investiga Claudia Leitte por retirar "Iemanjá" de música

19/12/2024

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Discriminação nos planos de saúde: A recusa abusiva de adesão de pessoas com TEA

19/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024