Foi publicada pela Autoridade Nacional de Proteção de Dados (“ANPD”), no dia 2 de maio de 2023, a proposta de Regulamento sobre Comunicação de Incidente de Segurança com Dados Pessoais, que objetiva detalhar procedimentos para a comunicação de incidentes de segurança, incluindo a especificação do prazo de notificação nos termos do § 1º do art. 48 da LGPD (“Regulamento”).
A ANPD ao publicar a proposta de Regulamento abriu prazo até dia 31 de maio de 2023 para o recebimento de comentários por parte da sociedade ("Consulta Pública"). Ao término da Consulta Pública, o Regulamento e as contribuições públicas seguirão o trâmite regulamentar da ANPD para posteriormente entrar em vigor.
Sumarizamos os principais pontos do Regulamento, porém, antes de apresentá-los, destacamos que comunicações sobre a ocorrência de incidentes já são exigidas pela ANPD independentemente de o Regulamento ainda não estar em vigor. Para orientações vigentes sobre comunicações, veja o site da ANPD: Comunicação de incidente de segurança — Autoridade Nacional de Proteção de Dados (www.gov.br).
A seguir, sumário do Regulamento que está sob Consulta Pública:
-
O que são "Incidentes de Segurança"?
São eventos adversos confirmados que violem a confidencialidade, integralidade, autenticidade ou disponibilidade de um dado pessoal.
-
Todo Incidente de Segurança deve ser comunicado à ANPD e aos titulares?
Não. Devem ser comunicados Incidentes de Segurança que possam causar risco ou dano relevante ao titular.
-
O que significa risco ou dano relevante?
Um Incidente de segurança que:
-
tiver potencial de afetar significativamente
interesses e direitos fundamentais dos titulares: impedir ou limitar o exercício de direitos ou
a utilização de um serviço ou ocasionar danos materiais ou morais aos
titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade; e, cumulativamente, -
envolver pelo menos um dos seguintes: dados sensíveis; dados de crianças, adolescentes ou idosos; dados financeiros; dados de autenticação dos sistemas; ou dados em larga escala.
-
Qual o prazo de comunicação de um Incidente de Segurança?
É previsto o prazo de 3 dias úteis do conhecimento sobre o Incidente de Segurança. A comunicação poderá ser excepcionalmente complementada em até 20 dias úteis, a contar do momento em que o controlador tomou conhecimento do Incidente de Segurança, prorrogável por uma vez, por igual período, mediante solicitação fundamentada à ANPD.
Agentes de pequeno porte, assim definidos pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, poderão ter prazo em dobro.
-
As comunicações à ANPD e ao titulares devem ser iguais?
Não, a ANPD propõe que a comunicação aos titulares seja simples e de fácil compreensão pelo titular afetado. A ANPD espera que o titular seja informado sobre os dados pessoais afetados, os riscos/impactos ao titular, as medidas que foram adotadas e canal de contato com o encarregado.
Por sua vez, a comunicação à ANPD tem caráter técnico e detalhado. De forma geral, a ANPD propõe que, além do informado ao titular, o controlador a informe sobre: o número de titulares afetados; eventuais motivos da comunicação não ter sido realizada no prazo; a data e a hora do conhecimento do incidente; os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte; as informações sobre o operador, quando aplicável; a declaração de que foi realizada a comunicação aos titulares; a descrição do incidente; e o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.
-
O controlador deve manter registro dos Incidentes de Segurança?
Sim, a ANPD espera que o controlador mantenha registro dos incidentes ocorridos pelo prazo de 5 anos, inclusive dos incidentes que não foram comunicados à ANPD e aos titulares. O prazo somente não é aplicável para entidades públicas que observam prazo específico definido pelo Conselho Nacional de Arquivos.
-
A ANPD poderá exigir a adoção de medidas pelo controlador para prezar pelos direitos dos titulares?
Sim, como medidas preventivas, as quais a ANPD indica que não se confundem com sanções administrativas, a ANPD poderá ao analisar a comunicação do Incidente de Segurança determinar a ampla divulgação do incidente em meios de comunicação (em especial quando a comunicação feita pelo controlador se mostrar insuficiente) ou a adoção de medidas para reverter ou mitigar os efeitos do incidente.
A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los com quaisquer questões relacionadas a proteção de dados.
Para acessar o Regulamento sobre Comunicação de Incidente de Segurança com Dados Pessoais da ANPD, clique aqui.
