Regulamento de Comunicação de Incidente de Segurança é publicado pela Autoridade Nacional de Proteção de Dados (ANPD)
No dia 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD“) publicou a Resolução CD/ANPD nº 15, que aprovou o Regulamento de Comunicação de Incidente de Segurança (“Regulamento“). Com isso, ficam estabelecidos os procedimentos obrigatórios que devem ser seguidos pelos controladores de dados em casos de comunicação de incidentes de segurança à ANPD e aos titulares de dados pessoais.
De acordo com a Lei nº 13.709/18 (Lei Geral de Proteção de Dados ou “LGPD“), o controlador deve comunicar não somente à ANPD, mas também aos titulares de dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais. De acordo com o novo Regulamento, o prazo para a comunicação do incidente, tanto para a ANPD quanto para os titulares, é de 03 (três) dias úteis, contados da data do conhecimento pelo controlador de que o incidente afetou dados pessoais. Caso não seja respeitado o prazo, deve ser justificada a motivação para a demora na comunicação.
Alguns dos principais aspectos do Regulamento são:
I. Definição de risco ou dano relevante aos titulares de dados pessoais
O Regulamento define quando um incidente de segurança pode acarretar risco ou dano relevante aos titulares de dados pessoais. Incidentes envolvendo dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou dados em larga escala – estão na lista dos que podem acarretar risco ou dano relevante aos titulares.
II. Comunicação do incidente de segurança para a ANPD e aos titulares de dados pessoais
A comunicação à ANPD deve ser feita por meio do formulário eletrônico. Dentre as informações que precisam constar da comunicação destacamos a descrição detalhada do incidente, os tipos de dados comprometidos, a quantidade de indivíduos afetados, as medidas de segurança adotadas antes e após o incidente, dentre outras descritas no Regulamento.
A ANPD também poderá solicitar novas informações sobre o incidente de segurança ao controlador a qualquer momento, incluindo o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente.
No que diz respeito à comunicação aos titulares, o Regulamento determina quais informações mínimas devem ser transmitidas aos titulares e destaca que deve ser usada a linguagem simples e, caso seja possível identificar os afetados, a comunicação deverá ser direta e individualizada.
Cabe destacar que os prazos de comunicação e complementação de informações serão em dobro para agentes de pequeno porte, nos termos da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022.
III. Obrigação de registro do incidente de segurança
O Regulamento também estabelece a obrigação de o controlador manter um registro detalhado do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de 05 (cinco) anos contados a partir da data do registro.
Por fim, o Regulamento traz disposições adicionais em relação ao processo de comunicação de incidente de segurança junto à ANPD, incluindo quem pode iniciar e como o processo pode ser extinto.