Comunicação de Incidente de Segurança – Regulamento da ANPD

Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança no âmbito da Lei Federal nº 13.709/18 (LGPD).

O mercado estava ansioso por essa regulamentação, pois havia muitas interpretações divergentes. Destaco abaixo os principais pontos e ressalto a importância da responsabilidade do profissional Encarregado de Tratamento de Dados, para os prazos de comunicação e a forma clara e objetiva da linguagem exigida desses comunicados.

As principais são:

  1. Quanto aos riscos e danos aos titulares

    O controlador deverá comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares quando, cumulativamente (Art. 5º.):

    • afetar significativamente interesses e direitos fundamentais dos titulares; e
    • envolver, pelo menos, um dos seguintes critérios:
      • dados pessoais sensíveis;
      • dados de crianças, de adolescentes ou de idosos;
      • dados financeiros;
      • dados de autenticação em sistemas;
      • dados protegidos por sigilo legal, judicial ou profissional; ou
      • dados em larga escala.

    O regulamento caracteriza o incidente de segurança, dentre outras situações, quando a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

  2. Critérios para comunicação de incidente de segurança

    A comunicação de incidente de segurança deverá ser realizada pelo controlador, encarregado ou por meio de representante constituído.

    No caso do encarregado e de representante, devem ser apresentados documentos comprobatório de vínculo contratual, empregatício ou funcional e instrumento com poderes de representação junto à ANPD.

    • Comunicação à ANPD (Art.6º.)

      O Regulamento orienta quanto as informações que a comunicação de incidente de segurança deve conter:

      • A descrição da natureza e da categoria de dados pessoais afetados;
      • O número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
      • As medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
      • Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
      • Os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de três dias úteis;
      • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
      • A data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
      • Os dados do encarregado ou de quem represente o controlador;
      • A identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
      • A identificação do operador, quando aplicável;
      • A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
      • O total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
    • Comunicação aos titulares (Art. 9º.)

      A comunicação deve utilizar uma linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível identificar os titulares.

      Caso a comunicação direta e individualizada não seja possível, o controlador deverá comunicar a ocorrência do incidente pelos meios de divulgação disponíveis, tais como sites, aplicativos, suas mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.

      A comunicação de incidente de segurança ao titular deverá conter as seguintes informações:

      • A descrição da natureza e da categoria de dados pessoais afetados;
      • As medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
      • Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
      • Os motivos da demora, no caso de a comunicação não ter sido feita no prazo de três dias úteis;
      • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
      • A data do conhecimento do incidente de segurança; e
      • O contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

      O controlador deverá juntar ao processo de comunicação de incidente uma declaração de que foi realizada a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis, contados do término do prazo de três dias úteis para comunicação aos titulares.

      Poderá ser considerada boa prática, para fins de atenuação de sansões, a orientação no comunicado ao titular de recomendações para evitar e/ou mitigar os efeitos do incidente.

  3. Solicitação de sigilo (Art. 7º.)

    Cabe ao controlador solicitar à ANPD eventual sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, principalmente àquelas relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.

  4. Prazos para comunicação do incidente

    • Comunicação à ANPD: a comunicação deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica. O prazo é contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.
    • Complementação das informações: as informações poderão ser complementadas, no prazo de 20 úteis, a contar da data da comunicação.
    • Comunicação aos titulares: a comunicação de incidente de segurança deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais.
  5. Registros e evidências dos incidentes (Art. 10º.)

    O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. O documento também pode ser solicitado pela ANPD a qualquer tempo.

    Os registros devem conter, no mínimo:

    • A data de conhecimento do incidente;
    • A descrição geral das circunstâncias em que o incidente ocorreu;
    • A natureza e a categoria de dados afetados;
    • O número de titulares afetados;
    • A avaliação do risco e os possíveis danos aos titulares;
    • As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
    • A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
    • Os motivos da ausência de comunicação, quando for o caso.
  6. Atuação da ANPD nos incidentes de segurança

    A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento, para coletar informações complementares ou validar as informações recebidas, com o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança (Art.12).

    A ANPD poderá instaurar procedimento de apuração de incidente de segurança para apurar a ocorrência de incidente de segurança que não tenham sido comunicados pelo controlador.

    Após avaliar a gravidade do incidente de segurança, a ANPD poderá determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares, tais como: ampla divulgação do incidente em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

  7. Extinção do Processo de Comunicação de Incidente de Segurança (Art. 23º.)

    O processo de comunicação de incidente de segurança será extinto nas seguintes hipóteses:

    • Caso não sejam identificadas evidências suficientes da ocorrência do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;
    • Caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares;
    • Caso o incidente não envolva dados pessoais;
    • Caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou
    • Realização da comunicação aos titulares e adoção das providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições do Regulamento e as determinações da ANPD.
  8. Aplicação do Regulamento a agentes de tratamento de pequeno porte

    Aplicam-se aos agentes de tratamento de pequeno porte (definidos na Resolução nº 2/2022 da ANPD) prazo em dobro para comunicação à ANPD e aos titulares.

This site is registered on wpml.org as a development site.