NOTÍCIAS E PUBLICAÇÕES

ANPD publica Resolução sobre Comunicação de Incidentes de Segurança

por , , | May 7, 2024 | Client Alert

Na data de hoje (26/04), foi publicada a Resolução CD/ANPD n° 15, de 24 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança pela Autoridade Nacional de Proteção de Dados (ANPD).

O normativo tem por objetivo estabelecer procedimentos e diretrizes para a comunicação de incidentes de segurança que envolvam dados pessoais, para garantir a proteção dos direitos dos titulares, a implementação de ações para reduzir danos, a responsabilização dos agentes de tratamento, a promoção de práticas de segurança, o estímulo à cultura de proteção de dados pessoais e à governança de dados adequada.

Vale mencionar que a resolução foi precedida de consulta pública em maio de 2023 e que as suas disposições se aplicam aos processos de comunicação de incidentes já em curso.

A norma foi estruturada da seguinte forma:

Definições – apresenta os termos e conceitos utilizados para fins de comunicação de incidentes de segurança envolvendo dados pessoais. Destacam-se os conceitos de:

  • dado de autenticação em sistemas (dado pessoal usado como credencial para acesso a um sistema ou confirmação de identificação de usuário, a exemplo de contas de login, token e senhas);
  • dado financeiro (dado pessoal relacionado às transações financeiras do titular, inclusive para contratação de serviços e aquisição de produtos);
  • dado protegido por sigilo profissional (dado pessoal cujo sigilo decorra do exercício de função, ofício ou profissão, em que revelado pode causar dano a outrem);
  • incidente de segurança (evento adverso confirmado que tenha relação com violação de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais);
  • relatório de tratamento de incidente (documento do controlador que possui cópias de dados e informações relevantes sobre o incidente e as medidas adotadas para reverter ou mitigar os seus efeitos).

Comunicação de Incidente de Segurança – detalha os critérios para a comunicação de incidentes, incluindo os tipos de dados envolvidos e as situações que caracterizam um incidente relevante.

  • Segundo o Regulamento, o controlador deve comunicar tanto à ANPD quanto ao titular a ocorrência de incidente que possa acarretar risco ou dano relevante aos titulares, ou seja, quando afete de forma significativa interesses e direitos fundamentais dos titulares e, de forma cumulativa, envolver ao menos um dos seguintes critérios: dados pessoais sensíveis, dados de crianças, adolescentes ou de idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional ou dados em larga escala;
  • O prazo para comunicar o incidente de segurança à ANPD é de 3 (três) dias úteis, sendo possível complementar a comunicação em até 20 dias úteis contados da primeira comunicação. Para agentes de pequeno porte de acordo com a Resolução CD/ANPD nº 2, estes prazos serão contados em dobro;
  • Há informações essenciais que devem constar da comunicação à ANPD, apesar de a ANPD disponibilizar formulário próprio para este ato, incluindo a natureza dos dados envolvidos, a gravidade do incidente, as possíveis consequências para os titulares de dados, a existência de medidas técnicas e organizacionais de segurança, a avaliação dos riscos para os direitos e liberdades dos titulares, e a conformidade com as normas de proteção de dados;
  • O sigilo de informações protegidas por lei deverá ser requerido, de forma fundamentada, à ANPD;
  • O prazo para comunicar o incidente de segurança aos titulares é de 3(três) dias úteis, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais. Para agentes de pequeno porte de acordo com a Resolução CD/ANPD nº 2, estes prazos serão contados em dobro;
  • Há informações essenciais que devem constar da comunicação aos titulares, como a natureza e a categoria de dados pessoais envolvidos, o número de titulares afetados, a extensão do dano potencial, a possibilidade de impacto negativo para os titulares, a existência de medidas de segurança adotadas antes e após o incidente, a probabilidade de ocorrência de dados, a duração e a extensão geográfica do incidente, e a capacidade de reverter ou mitigar os seus efeitos. Essa comunicação precisa usar linguagem simples e de fácil entendimento, e ocorrer de forma direta e individualizada;
  • É considerada boa prática, ou seja, medida adicional, incluir na comunicação do titular recomendações para reverter ou mitigar os efeitos do incidente;

Registro do Incidente de Segurança – todos os incidentes que envolvem dados pessoais, comunicados ou não à ANPD e aos titulares conforme o Regulamento, devem ter seu registro mantido por pelo menos 5 (cinco) anos.

Processo de Comunicação de Incidente de Segurança – pode ser iniciado de ofício ou com a comunicação realizada pelo controlador de dados. Iniciado o processo, a ANPD pode adotar algumas medidas, como realizar auditorias ou inspeções para coleta de informações sobre o incidente, e inclusive determinar ao controlador a adoção imediata de medidas preventivas para assegurar direitos dos titulares, com ou sem a sua prévia manifestação, fixando multa diária para cumprimento da determinação.

Além disso, há a possibilidade de a ANPD determinar ao controlador a ampla divulgação do incidente em meios de comunicação, para garantia dos direitos dos titulares.

Por fim, o processo de comunicação de incidente de segurança poderá ser extinto se:

  • não houver evidências de que ocorreu um incidente;
  • o incidente não envolver dados pessoais;
  • a ANPD considerar não haver risco ou dano relevante aos titulares; e
  • todas as medidas necessárias e determinadas foram adotadas pelo controlador, incluindo a comunicação aos titulares.

O time de Tecnologia, Privacidade e Proteção de Dados está à disposição para esclarecer dúvidas e dar apoio às questões relacionadas ao tema.

por , ,

Artigos Relacionados

Assine nossa newsletter

Concordo