08.05.2024 – A Autoridade Nacional de Proteção de Dados (ANPD), entidade pública brasileira criada pela Lei Geral de Proteção de Dados (LGPD), tendo como papel principal regulamentar, fiscalizar, orientar, educar, atuar em incidentes de segurança que envolvam dados pessoais e atuar em cooperação com outras entidades internacionais congêneres, publicou no Diário Oficial da União em 26 de abril de 2024 a Resolução CD/ANPD 15, de 24 de abril de 2024, que aproveitando a última consulta pública sobre o tema, aprovou o Regulamento de Comunicação de Incidente de Segurança.
Passemos abaixo às principais novidades trazidas pelo regulamento:
Quando a Comunicação é obrigatória
O processo de comunicação de incidente de segurança inicia-se:
| 1. de ofício, no caso de procedimento de apuração de incidente de segurança. |
| 2. com o recebimento da comunicação, devidamente formalizada por meio de formulário eletrônico disponibilizado pela ANPD preenchido pelo Encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD, no caso de procedimento de comunicação de incidente de segurança. |
A comunicação do incidente de segurança envolvendo dados pessoais deve ser sempre comunicada à ANPD, por meio de seu formulário eletrônico na Internet e ao titular de dados, quando envolver um dos seguintes critérios listados abaixo:
| 1. dados pessoais sensíveis |
| 2. dados de crianças, de adolescentes ou de idosos |
| 3. dados financeiros |
| 4. dados de autenticação em sistemas |
| 5. dados protegidos por sigilo legal, judicial ou profissional |
| 6. dados em larga escala |
Prazo para Comunicação do Incidente de Segurança envolvendo Dados Pessoais
A comunicação do incidente de segurança envolvendo dados pessoais deve ser comunicada à ANPD e ao titular de dados no prazo de 3 dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais. Para os agentes (controlador e operador) de pequeno porte, o prazo é contado em dobro.
Se a extensão do problema e a quantidade de titulares de dados pessoais não for identificável dentro desse prazo, é recomendável fazer a comunicação dentro do prazo, de forma preliminar, esclarecendo que estão sendo apurados os titulares de dados que foram impactados e os tipos de dados indevidamente acessados ou compartilhados. Feita a apuração, o controlador terá 20 dias úteis para complementar tais informações.
Pode ainda a ANPD instaurar processo administrativo sancionador para apurar o descumprimento dos prazos citados acima.
O que deve ser comunicado à ANPD
A comunicação de incidente de segurança envolvendo dados pessoais à ANPD deverá conter as seguintes informações:
| 1. a descrição da natureza e da categoria de dados pessoais afetados. |
| 2. o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos. |
| 3. as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial. |
| 4. os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares. |
| 5. os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de 3 dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais. |
| 6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares. |
| 7. a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador. |
| 8. os dados do encarregado ou de quem represente o controlador. |
| 9. a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte. |
| 10. a identificação do operador, quando aplicável. |
| 11. a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la. |
| 12. o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente. |
A comunicação de incidente de segurança deverá ser realizada pelo controlador, por meio do Encarregado (= data protection officer = DPO), acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD; podendo ainda o controlador requerer sigilo à ANPD, de maneira fundamentada, de informações protegidas por lei, cujo acesso deverá ser restringido.
A ANPD poderá, a qualquer tempo, solicitar ao controlador o envio do registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente, estabelecendo prazo para o envio das informações.
O que deve ser comunicado ao Titular de Dados
A comunicação de incidente de segurança envolvendo dados pessoais ao titular dos dados pessoais deverá conter as seguintes informações:
| 1. a descrição da natureza e da categoria de dados pessoais afetados. |
| 2. as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial. |
| 3. os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares. |
| 4. os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de 3 dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais. |
| 5. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis. |
| 6. a data do conhecimento do incidente de segurança. |
| 7. o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado. |
É importante salientar que o comunicado deve utilizar uma linguagem simples e de fácil entendimento, devendo ser preferencialmente direta e individualizada a cada titular de dados pessoais. Caso não seja possível, o controlador deverá comunicar a ocorrência do incidente, no prazo e com as informações definidas no caput, pelos meios de divulgação disponíveis, tais como seu sítio eletrônico, aplicativos, suas mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.
Para fins de comprovação junto à ANPD, O controlador deverá juntar ao processo de comunicação de incidente uma declaração de que foi realizada a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis; ou caso o prazo, não possa ter sido cumprido, as razões pelas quais o controlador não foi capaz de atender à tal disposição.
Registro Interno do Incidente de Segurança
O controlador deverá manter internamente o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção.
O registro do incidente de segurança deverá conter, no mínimo:
| 1. a data de conhecimento do incidente. |
| 2. a descrição geral das circunstâncias em que o incidente ocorreu. |
| 3. a natureza e a categoria de dados afetados. |
| 4. o número de titulares afetados. |
| 5. a avaliação do risco e os possíveis danos aos titulares. |
| 6. as medidas de correção e mitigação dos efeitos do incidente, quando aplicável. |
| 7. a forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares. |
| 8. os motivos da ausência de comunicação, quando for o caso. |
Auditorias ou Inspeções
A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento (controlador e operador), ou determinar a sua realização, para coletar informações complementares ou validar as informações recebidas, com o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança.
No curso do processo de comunicação de incidente de segurança, a ANPD poderá determinar ao controlador, com ou sem a sua prévia manifestação, a adoção imediata de medidas preventivas necessárias para salvaguardar direitos dos titulares, a fim de prevenir, mitigar ou reverter os efeitos do incidente de segurança e evitar a ocorrência de dano grave e irreparável ou de difícil reparação aos titulares de dados pessoais, podendo a ANPD fixar multa diária para assegurar o cumprimento da determinação.
Pode ainda a ANPD determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares, que não se confundem com penalidades, tais como:
| 1. ampla divulgação do incidente em meios de comunicação, às expensas do controlador, quando a comunicação realizada pelo controlador mostrar-se insuficiente para alcançar parcela significativa dos titulares afetados pelo incidente de segurança envolvendo dados pessoais, devendo ser compatível com a abrangência de atuação do controlador e a localização dos titulares dos dados pessoais afetados no incidente, podendo ser por (i) mídia escrita impressa, (ii) radiodifusão de sons e de sons e imagens e (iii) transmissão de informações pela Internet. |
| 2. medidas para reverter ou mitigar os efeitos do incidente sendo consideradas aquelas que possam garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados pessoais afetados, bem como minimizar os efeitos decorrentes do incidente para os titulares. |
Extinção do Processo de Comunicação de Incidente de Segurança
O processo de comunicação de incidente de segurança será declarado extinto pela ANPD nas seguintes hipóteses:
| 1. caso não sejam identificadas evidências suficientes da ocorrência do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos. |
| 2. caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares. |
| 3. caso o incidente não envolva dados pessoais. |
| 4. caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados. |
| 5. realização da comunicação aos titulares e adoção das providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições deste Regulamento e as determinações da ANPD. |
Post Disclaimer
A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.