maio 06 2024

ANPD aprova Regulamento de Comunicação de Incidente de Segurança

Share

A Resolução nº 15, de 24 de abril de 2024, da Autoridade Nacional de Proteção de Dados (ANPD), aprovou o Regulamento de Comunicação de Incidente de Segurança. O Regulamento estabelece procedimentos para a comunicação de incidentes de segurança, por parte de controladores de dados pessoais, conforme exigido no art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

O que é considerado um incidente?

  • Incidentes são qualquer evento adverso confirmado que venha a impactar a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais.

Gatilhos para a comunicação

  • Apenas devem ser comunicados à ANPD e aos titulares os incidentes que possam acarretar risco ou dano relevante a esses últimos.
  • Haveria, segundo a ANPD, “risco ou dano relevante aos titulares” quando o incidente puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver pelo menos um dos seguintes critérios:
    • Dados pessoais sensíveis;
    • Dados de crianças, de adolescentes ou de idosos;
    • Dados financeiros (relacionados a transações financeiras, inclusive para contratação de serviços e aquisição de produtos);
    • Dados de autenticação em sistemas (credenciais de acesso, como login, senha ou tokens);
    • Dados protegidos por sigilo legal, judicial ou profissional; ou
    • Dados em larga escala (quando abranger número de titulares, volume de dados, duração, frequência e extensão geográfica significativas – ANPD colocou em consulta pública estudo preliminar com metodologia para identificar se o tratamento é ou não de larga escala).
  • A ANPD exemplifica como impactos significativos a interesses e direitos fundamentais incidentes que, entre outras hipóteses, podem causar empecilhos no exercício de direitos, no uso de serviço ou infligir danos morais e materiais aos titulares, como fraudes financeiras, roubo de identidade e violação à imagem ou reputação dos indivíduos.

Prazo de comunicação

  • Exceto se for agente de tratamento de pequeno porte, na forma da Resolução nº 2 da ANPD, a comunicação deve ser feita à ANPD e aos titulares afetados em até três dias úteis, contados da data em que o controlador confirmar que o incidente afetou dados pessoais. Se for feita por procurador, o mandato deve ser apresentado também nesse prazo.
  • As informações à ANPD podem ser complementadas em até 20 dias úteis contados da data do protocolo da primeira comunicação.

O que deve constar nas comunicações à ANPD e aos titulares?

  • Deverá constar na comunicação à ANPD, entre outros pontos:
    • Se há dados sensíveis e as categorias de dados afetados;
    • Número de titulares afetados, distinguindo, quando possível, o número de menores de idade e idosos afetados. Além disso, deve se indicar o número de titulares cujos dados são tratados nas atividades afetadas pelo incidente;
    • Medidas técnicas que foram e serão adotadas para reverter ou mitigar o incidente;
    • Os riscos relacionados, indicando os impactos para os titulares;
    • A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la.
  • A comunicação aos titulares também deverá indicar os dados afetados, os riscos oriundos do incidente e as medidas para reverter ou mitigar o incidente, devendo, porém, focar em informar o contato para obtenção de mais informações, inclusive do(a) encarregado(a) da companhia. É ideal que se inclua, ainda, recomendações para os próprios titulares revertem ou mitigarem os efeitos dos incidentes.
    • A comunicação aos titulares deverá, se possível, ser individualizada e direta – ainda que apenas parte dos titulares afetados –, podendo ser por meio de telefone, e-mail, mensagem eletrônica ou até mesmo carta, desde que seja possível documentar o recebimento.
    • Se não for possível individualizar os indivíduos afetados, a comunicação pode se dar pelo site, aplicativos, mídias sociais e demais canais de atendimento do controlador. Caso a ANPD entenda que essa comunicação não foi suficiente pra alcançar os titulares afetados, poderá determinar ampla divulgação do incidente, às custas do controlador, admitindo mídia impressa, radiofusão e internet para tal.
  • O sigilo do processo de comunicação do incidente não é automático, devendo ser solicitado expressamente pelo controlador.

Documentações obrigatórias a partir do Regulamento

  • Torna-se obrigatória a elaboração de relatório de tratamento de incidente, no qual deve ser descrito o incidente e as providências adotadas para reverter ou mitigar os seus efeitos. A ANPD pode solicitar esse documento a qualquer momento.
  • É mandatório manter um registro de todos os incidentes de segurança, comunicados ou não à ANPD e/ou aos titulares, pelo prazo mínimo de cinco anos. Esse registro deve conter, entre outros pontos, datas dos incidentes, descrição geral em que os incidentes aconteceram, dados e titulares afetados, riscos oriundos, medidas tomadas e motivos de não comunicação se for o caso.

Poderes da ANPD durante o curso do processo administrativo

  • Instaurado o processo administrativo com a comunicação do incidente, a ANPD poderá, a qualquer momento, realizar inspeções e requisitar diligências complementares ao agente de tratamento para elucidar suas decisões. Junto a isso poderá definir a adoção de medidas preventivas pelo controlador, impondo, ainda, multa diária para garantir o seu cumprimento.
    • As medidas de salvaguarda aqui não possuem caráter de sanção e pretendem tão somente impedir a formação ou seguimento de dano grave. Seu descumprimento, porém, é razão para instauração de processo administrativo sancionador, abrindo o leque para diversas sanções, como multa de 2% do faturamento do ente privado e até interrupção total de tratamento de dados internamente.
  • O Regulamento permite à ANPD instaurar procedimento de apuração de incidentes de segurança de que tomar conhecimento, quando não comunicados pelo controlador. Nesse caso, ela poderá fazer requisições formais ao controlador investigado.
    • Da mesma forma, a não cooperação com a ANPD ou a constatação da existência de incidente de segurança indevidamente não comunicado poderão levar à instauração de processo administrativo sancionador.

Essa resolução tem caráter vinculante e deve ser cumprida de imediato, sendo inclusive aplicável aos processos de comunicação de incidente em curso.

Serviços e Indústrias Relacionadas

Stay Up To Date With Our Insights

See how we use a multidisciplinary, integrated approach to meet our clients' needs.
Subscribe