ANPD aprova o Regulamento de Comunicação de Incidente de Segurança

​O Regulamento traz regras a serem adotadas pelos agentes regulados em caso de incidentes de segurança da informação (“Incidentes”) que envolvam dados pessoais para: (i) mitigar ou reverter prejuízos gerados por Incidentes, (ii) assegurar a responsabilização e a prestação de contas, (iii) promover a adoção de boas práticas de governança, a prevenção e segurança e; (iv) fortalecer a cultura de proteção de dados pessoais no País.

Entre as principais disposições do Regulamento, destacam-se as seguintes:

– Prazos para comunicação de Incidentes:

• Comunicação à ANPD: a comunicação de Incidente à ANPD deverá ser realizada pelo controlador dos dados pessoais no prazo de 3 (três) dias úteis, contados do conhecimento, pelo controlador, de que o Incidente afetou dados pessoais.
• Comunicação aos titulares: de igual modo, a comunicação de Incidente aos titulares afetados deverá ser realizada no mesmo prazo previsto para comunicação à ANPD e deve se dar de forma direta e individualizada (por telefone, e-mail, mensagem, carta ou outros meios similares) quando for possível identificá-los. Não sendo possível identificar os titulares afetados, a comunicação deve se dar por meio que permita o amplo e fácil conhecimento, como o sítio eletrônico do controlador, aplicativos, mídias sociais e canais de atendimento aos titulares, pelo período mínimo de 3 (três) meses.

ATENÇÃO: O prazo de notificação começa a contar da descoberta do Incidente pelo controlador e não da definição sobre a probabilidade de o Incidente causar danos relevantes.

• Informações Mínimas da Comunicação: Em linha com o que já vinha sido recomendado pela ANPD, o Regulamento prevê que comunicação deve conter minimamente: (i) a descrição da natureza e da categoria de dados pessoais afetados; (ii) o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos; (iii) as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o Incidente, observados os segredos comercial e industrial; (iv) os riscos relacionados ao Incidente com identificação dos possíveis impactos aos titulares; (v) os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo; (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do Incidente sobre os titulares; (vii) a data da ocorrência do Incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador; (viii) os dados do encarregado ou de quem represente o controlador; (ix) a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte; (x) a identificação do operador, quando aplicável; (xi) a descrição do Incidente, incluindo a causa principal, caso seja possível identificá-la; e (xii) o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo Incidente.

• Complementação das informações: As informações poderão ser complementadas no prazo de 20 (vinte) dias úteis, a contar da data da comunicação.

A LGPD prevê que Incidentes que possam causar risco ou dano relevante aos titulares devem ser comunicados. Por se tratar de conceito amplo e subjetivo, o Regulamento trouxe parâmetros mais concretos para esta avaliação pelo controlador.

– Avaliação de risco ou dano relevante aos titulares: Um Incidente deve ser considerado capaz de causar risco ou dano relevante se puder “afetar de maneira significativa” os interesses e direitos fundamentais dos titulares e envolver:

• Dados pessoais sensíveis;
• Dados de crianças, adolescentes ou idosos;
• Dados financeiros;
• Dados de autenticação em sistemas;
• Dados protegidos por sigilo legal, judicial ou profissional; ou
• Dados em larga escala.

Como mencionado, a avaliação de risco ou dano relevante é composta pela combinação de pelo menos uma das condições acima listadas atrelada ao seu potencial de afetar de maneira significativa, ponto também explicado pelo regulamento:

• Definição de “afetar de maneira significativa”: O Incidente deve ser considerado capaz de “afetar significativamente” os interesses e direitos fundamentais dos titulares cuja atividade de tratamento relacionada puder impedir o exercício de direitos ou a utilização de um serviço, pelos titulares, assim como causar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

• Definição de larga escala: O Regulamento não estabelece definições quantitativas, mas sugere que um Incidente que impacta um grande número de titulares, considerando o volume, duração, frequência e extensão geográfica dos dados envolvidos, é classificado como de larga escala.

• Registro do incidente: Os registros de Incidentes, inclusive daqueles não comunicados à ANPD e aos titulares, devem ser mantidos pelo controlador por no mínimo 5 (cinco) anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. O documento pode ser solicitado pela ANPD a qualquer tempo

• Aplicação do Regulamento a agentes de tratamento de pequeno porte: Os prazos de comunicação à ANPD e aos titulares serão contados em dobro para os agentes de tratamento de pequeno porte que comprovem, mediante apresentação de declaração, essa caracterização.

– Extinção do Processo de Comunicação de Incidente de Segurança: o Regulamento estabelece que o processo poderá ser extinto nas seguintes hipóteses:

• ausências de provas suficientes do Incidente;
• determinação, pela ANPD, de que o Incidente não possui potencial para acarretar risco ou dano relevante aos titulares;
• determinação que o Incidente não afeta dados pessoais;
• Implementação de todas as medidas adicionais para mitigar ou reverter os impactos; e
• Envio de comunicação, pelo controlador,  aos titulares e tomada de todas as medidas necessárias de acordo com a LGPD, o Regulamento e as instruções da ANPD.

O descumprimento do Regulamento pode resultar em instauração de Processo Administrativo Sancionador.
Para acessar o Regulamento publicado pela ANPD mencionado neste Informa clique no link.
A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los em casos envolvendo incidentes de segurança.