ANPD divulga novo formulário para incidentes de segurança

Em 23 de dezembro de 2022, a Autoridade Nacional de Proteção de Dados ("ANPD"), por meio de sua coordenação-geral de fiscalização, publicou novo formulário destinado a comunicação de incidentes de segurança, a ser utilizado por "controladores de dados pessoais" para a ANPD¹.

Referido documento está disponível no website da ANPD².

O novo modelo deverá ser utilizado para a comunicação dos incidentes de segurança a partir do início de 2023, devendo ser encaminhado apenas em formato pdf, por meio do Peticionamento Eletrônico do Super.Br (Sistema Único de Processo Eletrônico em Rede)³. É essencial que o responsável pela empresa efetue e mantenha seu cadastro no referido sistema, não deixamos para último momento, sob risco de perda de prazos, dado que o cadastro exige certas formalizações preliminares. Na prática, idealmente o cadastro deve ser realizado pelo DPO/encarregado, que é exatamente a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)⁴.

O novo formulário vigente a partir de 1/1/23 visa facilitar o preenchimento pelos controladores e a análise das comunicações de incidentes pela ANPD.

A comunicação de incidente de segurança é prevista na lei Geral de Proteção de Dados Pessoais ("LGPD")⁵ para que os titulares tomarem conhecimento de eventuais violações de seus dados pessoais que possam acarretar risco ou dano relevante (Art. 48⁶). Possibilita, ainda, que os agentes de tratamento demonstrem à Autoridade o cumprimento de suas obrigações legais relativas ao incidente e a adoção de medidas de segurança adequadas às suas atividades de tratamento de dados (Art. 46⁷).

A ANPD informou que o novo formulário foi desenvolvido visando facilitar tanto o preenchimento por parte dos controladores quanto a análise das comunicações de incidentes pela entidade. Estruturalmente, o novo documento teve ampliado o uso de respostas estruturadas tendo sido incluídas orientações sobre o processo de comunicação de incidentes no corpo do próprio formulário. Busca-se, com isso, uma melhoria da qualidade das informações e respostas, para permitir a estruturação de uma base de dados confiável sobre incidentes de segurança.

Por fim, reforçamos advertência para aqueles que serão os responsáveis pela atuação como canal de comunicação entre titulares de dados, controladores, a APND e mercado em geral, que é de extrema importância o cadastramento no Sistema de Peticionamento Eletrônico do Sistema SEI, dado que o sistema somente pode ser utilizado pelos usuários externos, devidamente cadastrados. Ou seja, não deixe para o último dia do prazo para realizar o cadastro, pois o prazo para liberar o cadastro do usuário externo é de até 3 (três) dias úteis após o recebimento da documentação e caso sejam verificadas pendências, o cadastro não será liberado e o solicitante será informado por e-mail para as devidas providências. Recomendamos consultar o "Manual do Usuário Externo - Peticionamento Eletrônico".

É sempre importante lembrar que evoluções legislativas e regulatórias devem, em tese, sempre objetivar a necessidade de efetiva aplicação do Direito. A nova prática documental trazida pela ANPD parece caminhar neste sentido. Nas palavras do saudoso jurista Miguel Reale: "A aplicação do Direito envolve a adequação de uma norma jurídica a um ou mais fatos particulares, o que põe o delicado problema de saber como se opera o confronto entre uma regra "abstrata" e um fato "concreto", para concluir pela adequação deste àquela (donde a sua licitude) ou pela inadequação (donde a ilicitude)"⁸. Ora, acrescente-se à esta lição a necessidade de evolução dos conceitos e da aplicação do direito no tempo e considerando os novos tempos e novas necessidades do Estado e da sociedade brasileira.

Com a efetiva regulamentação do segmento de proteção de dados e maior efetividade na comunicação de incidentes de segurança caminha neste sentido.

--------------------------

1 BRASIL. Coordenação-Geral de Fiscalização da ANPD divulga novo formulário para envio de Comunicados de Incidentes de Segurança. Disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/coordenacao-geral-de-fiscalizacao-da-anpd-divulga-novo-formulario-para-envio-de-comunicados-de-incidentes-de-seguranca . 

2 O endereço eletrônico integral é https://www.gov.br/anpd/pt-br/assuntos/noticias/coordenacao-geral-de-fiscalizacao-da-anpd-divulga-novo-formulario-para-envio-de-comunicados-de-incidentes-de-seguranca/formulario_cis_anpd.docx 

3 Acesso por meio do seguinte endereço eletrônico https://super.presidencia.gov.br/controlador_externo.php?acao=usuario_externo_logar&acao_origem=usuario_externo_gerar_senha&id_orgao_acesso_externo=0 

4 Lei 13.709, de 14 de agosto de 2018. "Art. 5º Para os fins desta Lei, considera-se: (...) VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);".  Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . 

5 Lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD).  Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . 

6 Lei 13.709, de 14 de agosto de 2018. "Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. § 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: I - ampla divulgação do fato em meios de comunicação; e II - medidas para reverter ou mitigar os efeitos do incidente. § 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.".  Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . 

7 Lei 13.709, de 14 de agosto de 2018. "Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.  § 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.  § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.".  Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . 

8 REALE, Miguel. Lições Preliminares de Direito. 21ª ed. Revista e aumentada. São Paulo : Editora Saraiva, 1994, pág. 296