ANPD divulga o Regulamento de Comunicação de Incidente de Segurança
(09/05/2024)
Prezados clientes e colaboradores,
No dia 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou a Resolução CD/ANPD nº 15, datada de abril de 2024, instituindo o Regulamento para Notificação de Incidentes de Segurança (“Regulamento”), conforme estabelecido pela Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/18.
Este Regulamento, que passou a valer imediatamente após sua publicação, é aplicável a todos os procedimentos de notificação de incidentes de segurança em andamento, garantindo a validade de ações processuais já efetuadas.
Dentre as disposições, o Regulamento estabelece definições importantes, critérios e prazos para a notificação de incidentes à ANPD e aos titulares dos dados, critérios para determinar o risco ou dano significativo aos titulares, procedimentos para o registro de incidentes e as medidas que a ANPD adotará em resposta à notificação de tais incidentes.
Antes dessa regulamentação, a ANPD havia emitido apenas orientações gerais sobre o assunto em 2022 e realizado uma consulta pública em 2023, cujos resultados influenciaram a formulação do Regulamento atual.
Estabeleceu-se, através do Regulamento, que o responsável pelo tratamento dos dados deve informar à ANPD e ao titular dos dados a ocorrência de qualquer incidente de segurança que possa levar a um risco ou dano significativo. Isso é considerado relevante quando há um impacto significativo nos direitos fundamentais dos titulares e envolve um ou mais dos seguintes aspectos:
i. Dados pessoais sensíveis;
ii. Dados de menores, adolescentes ou idosos;
iii. Informações financeiras;
iv. Dados de autenticação;
v. Dados protegidos por sigilo;
vi. Dados processados em grande escala.
Quanto a esses critérios, a ANPD avaliará, após ser notificada, para determinar a gravidade do incidente. Ressalta-se que a notificação deve incluir detalhes como a natureza e tipo de dados pessoais afetados, número de titulares impactados, medidas de segurança adotadas, riscos associados ao incidente, justificativa para qualquer atraso na notificação, ações tomadas para mitigar os efeitos do incidente, entre outros.
A comunicação aos titulares deve ser clara e conter informações específicas sobre o incidente, medidas de segurança adotadas, riscos potenciais, e ações para mitigar o incidente. Alternativamente, o Regulamento determina que, caso a notificação direta aos titulares não for viável, o controlador deve divulgar o incidente por meios acessíveis, garantindo ampla visibilidade por pelo menos 3 (três) meses.
Ademais, o controlador pode solicitar à ANPD o sigilo de informações específicas, e deve notificá-la (além, claro, dos titulares) sobre o incidente dentro de três dias úteis após o conhecimento do fato.
É fortemente recomendável que o controlador mantenha registros detalhados acerca do incidente de segurança por, no mínimo, 5 (cinco) anos, contendo informações como a data do incidente, descrição, dados afetados, avaliação de risco, entre outros.
Em sua atuação, ANPD conduzirá um processo administrativo para fiscalizar e responder a incidentes de segurança, podendo realizar auditorias e inspeções para coletar ou validar informações. O processo pode ser encerrado sob certas condições, incluindo, mas não se limitando, a ausência de evidências suficientes do incidente ou se todas as medidas necessárias foram tomadas.
Por fim, a aplicação dessas Regras à Agentes de Tratamento de Pequeno Porte tem prazos dobrados para a notificação e devem fornecer uma declaração comprovando essa condição na comunicação à ANPD.
Nossa equipe, como sempre, está à disposição para auxiliar nas repercussões desse tema.