No dia 26/4, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que estabelece critérios e procedimentos para a Comunicação de Incidentes de Segurança.

A equipe de Privacidade e Proteção de Dados da Loeser e Hadad Advogados, em análise da referida Resolução, destacou abaixo os principais pontos de impacto, entendimento e aplicabilidade, de acordo com a ANPD.

1 | O QUE É UM INCIDENTE DE SEGURANÇA?

É qualquer evento adverso confirmado, que seja relacionado à violação de confidencialidade, integridade, disponibilidade e autenticidade da segurança dos dados pessoais.

2 | QUANDO COMUNICAR UM INCIDENTE?

O Controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados. Com isso, a ANPD esclarece uma das lacunas deixadas pela Lei Geral de Proteção de Dados Pessoais (LGPD) sobre como determinar um “potencial risco ou dano relevante aos titulares”.

De acordo com a Autoridade, sempre que o tratamento puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, o tratamento tiver uma das características a seguir, será considerado um potencial risco ou dano relevante aos titulares de dados:

• dados pessoais sensíveis
• dados de crianças, de adolescentes ou de idosos
• dados financeiros; dados de autenticação em sistemas
• dados protegidos por sigilo legal, judicial ou profissional, ou
• dados em larga escala

Sobre esse último aspecto, vale destacar que a ANPD não chegou a definir um número que determinaria o tratamento em “larga escala”, ocorrendo quando abranger o que a Autoridade denominou como “número significativo de titulares”, considerando, ainda, o “volume de dados envolvidos”, bem como “a duração, a frequência e a extensão geográfica de localização dos titulares”.

3 | QUAL O PRAZO DE COMUNICAÇÃO?

O novo prazo é de 3 (três) dias úteis, tanto para comunicar a ANPD quanto para comunicar os titulares envolvidos no incidente, sendo este prazo dobrado para Agentes de Tratamento de Pequeno Porte, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, desde que preenchidos os critérios para identificar se o incidente pode acarretar risco ou dano relevante aos titulares de dados.

4 | COMO COMUNICAR A ANPD?

A comunicação de incidente de segurança direcionada à Autoridade Nacional de Proteção de Dados deverá ser enviada por meio de formulário eletrônico, o qual é disponibilizado pela autoridade em seu sítio eletrônico. É necessário um cadastro prévio do agente de tratamento antes da comunicação do incidente. A comunicação deverá conter as informações previstas no formulário disponibilizado pela ANPD, conforme descreve o art. 6º, §2º da Resolução e poderão ser complementadas, no prazo de 20 (vinte) dias úteis, sendo certo que, em caso de descumprimento, a ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração de incidentes de segurança, podendo exigir ações corretivas.

5 | COMO COMUNICAR OS TITULARES DE DADOS?

A comunicação ao titular deverá ser elaborada em linguagem simples e de fácil entendimento, devendo ocorrer de forma direta e individualizada.

É admitida a comunicação por meio de sítio eletrônico, aplicativos, mídias sociais e outros, caso a comunicação individualizada seja inviável, ou a identificação dos titulares afetados seja impossível. A comunicação deverá conter:

(i) a descrição da natureza e categoria dos dados afetados

(ii) as medidas técnicas e de segurança utilizadas para a proteção dos dados

(iii) os riscos relacionados ao incidente e a identificação de possíveis impactos ao titular

(iv) o motivo da demora em caso de comunicação extemporânea

(v) as medidas adotadas para mitigar ou reverter os efeitos do incidente

(vi) a data de conhecimento do incidente; e

(vii) o contato para obtenção de informações e dados de contato do encarregado.

6 | A COMUNICAÇÃO PARA A ANPD PODERÁ TER O ACESSO AO SEU CONTEÚDO RESTRINGIDO?

O conteúdo da comunicação poderá ser sigiloso, desde que o controlador solicite à ANPD, de maneira fundamentada, indicando as informações cujo acesso deverá ser restringido, a exemplo daquelas relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.

7 | É NECESSÁRIO REGISTRAR O INCIDENTE INTERNAMENTE?

O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção.

8 | QUAIS AS CONSEQUÊNCIAS DO DESCUMPRIMENTO?

O não cumprimento das regras estabelecidas pela Resolução CD/ANPD nº 15/2024 acarretará na instauração de um Processo Administrativo Sancionador, conforme define a Resolução CD/ANPD nº 01/2021, levando à aplicação das sanções previstas no art. 52 da LGPD que variam entre advertência, multa simples, multa diária, publicização, da infração, bloqueio dos dados pessoais a que se refere a infração até sua regularização, eliminação dos dados pessoais, até suspensão ou proibição do exercício de atividades relacionadas a tratamento de dados.

Com a publicação desta Resolução, a ANPD visa proteger os direitos dos titulares, além de promover a adoção de regras de boas práticas de governança, de medidas de prevenção e segurança adequadas e, sobretudo, garantir maior segurança jurídica aos agentes de tratamento e aos titulares de dados pessoais, além de preencher algumas lacunas deixadas pelo texto da LGPD em relação à questão da comunicação de incidentes de segurança, bem como estender o prazo da comunicação, que era anteriormente de 2 (dois) dias úteis.