No dia 26/4, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que estabelece critérios e procedimentos para a Comunicação de Incidentes de Segurança.
A equipe de Privacidade e Proteção de Dados da Loeser e Hadad Advogados, em análise da referida Resolução, destacou abaixo os principais pontos de impacto, entendimento e aplicabilidade, de acordo com a ANPD.
1 | O QUE É UM INCIDENTE DE SEGURANÇA?
É qualquer evento adverso confirmado, que seja relacionado à violação de confidencialidade, integridade, disponibilidade e autenticidade da segurança dos dados pessoais.
2 | QUANDO COMUNICAR UM INCIDENTE?
O Controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados. Com isso, a ANPD esclarece uma das lacunas deixadas pela Lei Geral de Proteção de Dados Pessoais (LGPD) sobre como determinar um “potencial risco ou dano relevante aos titulares”.
De acordo com a Autoridade, sempre que o tratamento puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, o tratamento tiver uma das características a seguir, será considerado um potencial risco ou dano relevante aos titulares de dados:
Sobre esse último aspecto, vale destacar que a ANPD não chegou a definir um número que determinaria o tratamento em “larga escala”, ocorrendo quando abranger o que a Autoridade denominou como “número significativo de titulares”, considerando, ainda, o “volume de dados envolvidos”, bem como “a duração, a frequência e a extensão geográfica de localização dos titulares”.
3 | QUAL O PRAZO DE COMUNICAÇÃO?
O novo prazo é de 3 (três) dias úteis, tanto para comunicar a ANPD quanto para comunicar os titulares envolvidos no incidente, sendo este prazo dobrado para Agentes de Tratamento de Pequeno Porte, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, desde que preenchidos os critérios para identificar se o incidente pode acarretar risco ou dano relevante aos titulares de dados.
4 | COMO COMUNICAR A ANPD?
A comunicação de incidente de segurança direcionada à Autoridade Nacional de Proteção de Dados deverá ser enviada por meio de formulário eletrônico, o qual é disponibilizado pela autoridade em seu sítio eletrônico. É necessário um cadastro prévio do agente de tratamento antes da comunicação do incidente. A comunicação deverá conter as informações previstas no formulário disponibilizado pela ANPD, conforme descreve o art. 6º, §2º da Resolução e poderão ser complementadas, no prazo de 20 (vinte) dias úteis, sendo certo que, em caso de descumprimento, a ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração de incidentes de segurança, podendo exigir ações corretivas.
5 | COMO COMUNICAR OS TITULARES DE DADOS?
A comunicação ao titular deverá ser elaborada em linguagem simples e de fácil entendimento, devendo ocorrer de forma direta e individualizada.
É admitida a comunicação por meio de sítio eletrônico, aplicativos, mídias sociais e outros, caso a comunicação individualizada seja inviável, ou a identificação dos titulares afetados seja impossível. A comunicação deverá conter:
(i) a descrição da natureza e categoria dos dados afetados
(ii) as medidas técnicas e de segurança utilizadas para a proteção dos dados
(iii) os riscos relacionados ao incidente e a identificação de possíveis impactos ao titular
(iv) o motivo da demora em caso de comunicação extemporânea
(v) as medidas adotadas para mitigar ou reverter os efeitos do incidente
(vi) a data de conhecimento do incidente; e
(vii) o contato para obtenção de informações e dados de contato do encarregado.
6 | A COMUNICAÇÃO PARA A ANPD PODERÁ TER O ACESSO AO SEU CONTEÚDO RESTRINGIDO?
O conteúdo da comunicação poderá ser sigiloso, desde que o controlador solicite à ANPD, de maneira fundamentada, indicando as informações cujo acesso deverá ser restringido, a exemplo daquelas relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.
7 | É NECESSÁRIO REGISTRAR O INCIDENTE INTERNAMENTE?
O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção.
8 | QUAIS AS CONSEQUÊNCIAS DO DESCUMPRIMENTO?
O não cumprimento das regras estabelecidas pela Resolução CD/ANPD nº 15/2024 acarretará na instauração de um Processo Administrativo Sancionador, conforme define a Resolução CD/ANPD nº 01/2021, levando à aplicação das sanções previstas no art. 52 da LGPD que variam entre advertência, multa simples, multa diária, publicização, da infração, bloqueio dos dados pessoais a que se refere a infração até sua regularização, eliminação dos dados pessoais, até suspensão ou proibição do exercício de atividades relacionadas a tratamento de dados.
Com a publicação desta Resolução, a ANPD visa proteger os direitos dos titulares, além de promover a adoção de regras de boas práticas de governança, de medidas de prevenção e segurança adequadas e, sobretudo, garantir maior segurança jurídica aos agentes de tratamento e aos titulares de dados pessoais, além de preencher algumas lacunas deixadas pelo texto da LGPD em relação à questão da comunicação de incidentes de segurança, bem como estender o prazo da comunicação, que era anteriormente de 2 (dois) dias úteis.
6 de maio de 2024
4 de outubro de 2024
4 de outubro de 2024
30 de setembro de 2024