No dia 23 de dezembro de 2022 (sexta-feira), a Coordenação-Geral de Fiscalização da ANPD - órgão responsável por receber notificações de incidentes de segurança e determinar a adoção de providências para a salvaguarda dos direitos dos titulares em relação a tais incidentes, dentre outras atribuições – publicou novo formulário para Comunicação de Incidentes de Segurança (CIS) pelos controladores de dados pessoais à ANPD, a partir de 01 de janeiro de 2023. A CIS deve ser realizada pelo Encarregado de dados ou por um representante legal do controlador, utilizando o formulário disponível no website da ANPD, o qual deve ser protocolado eletronicamente por meio do Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
O formulário aprimorado pela ANPD possibilita respostas mais estruturadas e contempla novas orientações e diretrizes aos controladores acerca de seu preenchimento, do papel dos agentes de tratamento no reporte do incidente e dos procedimentos a serem adotados em virtude da ocorrência do incidente de segurança. O preenchimento do formulário prevê a indicação de informações que incluem, mas não limitam-se, à descrição resumida do tipo de incidente, às informações acerca dos tipos de dados pessoais violados, categoria de titulares de dados afetados e número aproximado de titulares de dados afetados, aos requisitos para comunicação aos titulares de dados, à disponibilização de informações preliminares, às prováveis consequências do incidente aos titulares de dados, à indicação do encarregado de dados, medidas de segurança que eram adotadas pelo controlador antes do incidente e o que foi implementado neste sentido após a ocorrência do incidente, à informação a respeito de as atividades de tratamento de dados afetadas pelo incidente estarem submetidas a regulamentações de segurança setoriais, dentre outros. Ao preencher o novo formulário, o controlador também deverá informar se é um Agente de Tratamento de Pequeno Porte. Segundo a ANPD, o novo formulário visa facilitar o preenchimento pelos controladores e a análise da CIS pela ANPD, bem como permitir a estruturação de uma base de dados confiável sobre incidentes de segurança.
Vale destacar que a "Comunicação de incidentes e especificação do prazo de notificação" foi classificada como integrante da Fase 1 da Agenda Regulatória da ANPD para o biênio 2023–2024 ("Agenda Regulatória - 2023-2024"), tendo seu processo regulatório iniciado durante a vigência da Agenda Regulatória para o biênio 2021-2022. Dessa forma, a iniciativa em questão será considerada como prioritária pela ANPD, com prevalência sobre os demais itens constantes da Agenda Regulatória - 2023-2024, e espera-se, portanto, que no próximo biênio sejam emitidas novas regras e orientações acerca do tema.
Além disso, nota-se que incidentes envolvendo dados pessoais seguem crescendo no país, posicionando o Brasil entre os países com maior número total de vazamentos de dados. Diante disso, a proteção de dados e a segurança da informação nunca foram temas tão importantes, o que significa que a conformidade com a legislação de proteção de dados passou a ser um dos mais importantes ativos de mercado.
O time de Proteção de Dados & Privacidade do Veirano Advogados está acompanhando ativamente as publicações da ANPD e está à disposição para responder quaisquer questionamentos e prestar assessoria sobre o assunto.
Fonte: Veirano, em 27.12.2022