A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou hoje a Resolução CD/ANPD nº15/2024, que aprovou o Regulamento para a Comunicação de Incidentes de Segurança (“Regulamento”). O Regulamento já está em vigor e tem como objetivo estabelecer os procedimentos para a comunicação de incidente de segurança, nos termos do art. 48 da Lei Geral de Proteção de Dados Pessoais (“LGPD”).
Dentre os principais tópicos abordados no Regulamento estão:
• Definição de incidente de segurança como “qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”, entre outras definições apresentadas.
• Obrigatoriedade de comunicação à ANPD e aos titulares pelo controlador, no prazo de 3 (três) dias úteis, contados do conhecimento do incidente de segurança, salvo se previsto outro prazo em legislação específica, quando o incidente de segurança puder acarretar risco ou dano relevante aos titulares. Adicionalmente, o Regulamento especifica um conjunto de informações essenciais que devem ser incluídas nesta comunicação, tais como: a descrição do incidente de segurança e da natureza dos dados pessoais afetados, o número de titulares impactados, entre outras.
• Esclarecimento de que um incidente de segurança pode acarretar “risco ou dano relevante aos titulares” quando puder afetar significativamente seus interesses e direitos fundamentais e, cumulativamente, envolver, pelo menos, um dos seguintes critérios: (i) dados pessoais sensíveis; (ii) dados de crianças; adolescentes ou idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas; (v) dados protegidos por sigilo legal; judicial ou profissional; ou (vi) dados em larga escala.
• A comunicação aos titulares deverá ser “direta e individualizada”. Caso não seja possível, o controlador deverá dar publicidade ao ocorrido em canais de divulgação, pelo período de, no mínimo, 3 (três) meses.
• As informações sobre o incidente de segurança poderão ser complementadas, de maneira fundamentada, no prazo de 20 (vinte) dias úteis.
• O controlador deverá manter o registro do incidente de segurança, incluindo aqueles que não foram comunicados, pelo período de, no mínimo, 5 (cinco) anos.
• Os prazos para a comunicação deverão ser contados em dobro para os agentes de pequeno porte, nos termos do disposto na Resolução CD/ANPD nº 2/2022.
As disposições estabelecidas no Regulamento visam mitigar ou reverter prejuízos gerados aos titulares; garantir a responsabilização e a prestação de contas; promover a adoção de boas práticas de governança, prevenção e segurança; e fortalecer a cultura de proteção de dados pessoais no Brasil.
Vale lembrar que, recentemente, a ANPD publicou um estudo preliminar referente aos conceitos de “alto risco” e “larga escala”, que estão estritamente relacionados à obrigatoriedade de comunicação do incidente de segurança. Para mais informações sobre o estudo, clique aqui.
Nosso time de Proteção de Dados & Privacidade está acompanhando ativamente as publicações da ANPD e está à disposição para responder quaisquer questionamentos e prestar assessoria sobre o assunto.
Fonte: Veirano Advogados, em 26.04.2024