Na última sexta-feira (26), a Autoridade Nacional de Proteção de Dados (ANPD) deu um passo significativo ao aprovar o Regulamento de Comunicação de Incidentes de Segurança. Este regulamento estabelece procedimentos mandatórios para a comunicação de incidentes de segurança que possam implicar risco ou dano relevante para os titulares de dados pessoais.
É uma realidade incontornável que todas as organizações que manejam dados pessoais podem enfrentar incidentes de segurança. Por isso, é crucial compreender os protocolos de ação para casos de incidentes.
O artigo 48 da LGPD deixava lacunas sobre a necessidade de comunicar certos incidentes, lacunas essas que o novo regulamento procura preencher, dissipando dúvidas e fornecendo orientações claras.
O regulamento também nos traz os critérios de comunicação e registro de incidentes de segurança. Na visão da ANPD, podem acarretar riscos ou danos relevantes os incidentes que tiverem potencial de afetar significativamente interesses e direitos fundamentais e que envolverem ao menos um dos seguintes critérios:
- Dados pessoais sensíveis;
- Dados de crianças, adolescentes ou idosos;
- Dados financeiros;
- Dados de autenticação em sistemas;
- Dados protegidos por sigilo legal, judicial ou profissional;
- Dados tratados em larga escala.
Com relação aos procedimentos para comunicação:
- As comunicações devem ser feitas em formulário eletrônico específico disponibilizado pela ANPD.
- As comunicações à ANPD devem ser feitas pelo Encarregado de Dados, por meio do formulário mencionado.
- As comunicações devem ser redigidas em linguagem clara e preferencialmente individualizada.
- O registro do incidente deve ser mantido por 5 anos, mesmo aqueles que não forem comunicados.
A respeito dos prazos para comunicação:
- O controlador de dados deve notificar a ANPD dentro do prazo de 3 dias uteis, após tomar conhecimento do incidente de segurança, que pode ser complementado com informações adicionais dentro do prazo de 20 dias uteis.
- Para agentes de tratamento de dados de pequeno porte será concedido prazo em dobro, para a comunicação à ANPD e ao titular de dados (resolução CD/ANPD n.2/2022).
Previsão de sanções:
- O não cumprimento das normas de comunicação apropriada e no tempo devido dos incidentes pode levar à imposição de multas diárias, sanções administrativas e à exigência pela ANPD de medidas preventivas imediatas para salvaguardar os direitos fundamentais dos titulares de dados afetados.
Em conclusão, o Regulamento de Comunicação de Incidentes de Segurança é um marco essencial no fortalecimento da governança de dados no Brasil. Além de esclarecer o que se espera das organizações em momentos críticos, ele enfatiza a importância de uma resposta rápida e eficiente para proteger os indivíduos afetados.
Para as organizações, o momento é de adaptação e de revisão dos seus processos internos para assegurar que estejam em plena conformidade com as diretrizes estabelecidas, evitando assim as consequências de qualquer inobservância que possa colocar em risco tanto os dados quanto a sua reputação.
Autoras:
Gisele Truzzi
Advogada especialista em Direito Digital. Fundadora de “Gisele Truzzi Tech Legal Advisory”.
Flora Santiago
Advogada e DPO em “Gisele Truzzi Tech Legal Advisory”, especialista em Privacidade e Proteção de Dados.
Eloá Caixeta
Advogada e Consultora em “Gisele Truzzi Tech Legal Advisory”, especialista em Privacidade e Proteção de Dados.
Iasmin Palotta
Advogada e sócia em “Gisele Truzzi Tech Legal Advisory” com foco para o Direito Digital, Tecnologia, Inovação, Privacidade e Proteção de Dados Pessoais.