A autoridade Nacional de Proteção de Dados (ANPD) publicou, em 26/04, a Resolução CD/ANPD nº 15/2024 que aprova o Regulamento de Comunicação de Incidente de Segurança. Com ela, a autoridade objetiva estabelecer procedimentos para mitigar ou reverter danos causados por incidentes de segurança, bem como esclarecer aos agentes de tratamento e aos titulares o que deve ser feito em caso de incidentes.

Critérios para comunicar o incidente

Segundo a Resolução, um incidente de segurança deve ser comunicado à ANPD quando ele puder afetar significativamente interesses e direitos fundamentais dos titulares, ou seja, quando puder impedir o exercício de direitos ou uso de um serviço, bem como gerar danos materiais e morais, como discriminação e roubo de identidade.

Cumulativamente a este critério, também é necessário que o incidente contenha ao menos uma das características abaixo para ser comunicado à ANPD:

• Dados pessoais sensíveis;
• Dados de crianças, de adolescentes ou de idosos;
• Dados financeiros;
• Dados de autenticação em sistemas;
• Dados protegidos por sigilo legal, judicial ou profissional; ou
• Dados em larga escala.

Comunicação do Incidente de Segurança à ANPD

A Resolução determinou o prazo de 3 dias úteis para comunicar o incidente à ANPD, contados do momento em que o controlador teve ciência de que o incidente envolvia dados pessoais. A comunicação deve ocorrer através de formulário eletrônico disponibilizado pela ANPD e pode ser complementado em até 20 dias úteis, a contar da data de comunicação.

Além disso, o comunicado, a ser enviado pelo controlador, deve acompanhar documento que comprove vínculo contratual, empregatício ou funcional do encarregado de dados pessoais com o controlador, acompanhada de instrumento com poderes de representação junto à ANPD.

Por fim, cabe ao controlador solicitar à ANPD, de forma fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deve ser restringido, como segredos comerciais ou industriais.

Comunicação do Incidente de Segurança aos Titulares

A Resolução determinou que o prazo de comunicação aos titulares também deve ser de 3 dias úteis, contados a partir da ciência de que o incidente ocorrido envolveu dados pessoais. O comunicado deve ser realizado em linguagem simples e de fácil entendimento e através dos meios de comunicação já usualmente utilizados pelo controlador para se comunicar com os titulares, como e-mail e mensagem eletrônica, quando for possível individualizá-los.

Caso isto não seja possível, deverá haver uma ampla divulgação do incidente pelos meios de divulgação disponíveis, como site, aplicativos, redes sociais e canais de atendimento ao titular, a fim de permitir uma comunicação ampla, direta e de fácil visualização por, no mínimo, 3 meses.

A ampla divulgação deverá ser compatível com a abrangência de atuação do controlador e a localização dos titulares dos dados pessoais afetados no incidente, bem como deverá ser realizada de modo a atingir o maior número possível de titulares afetados.

Registro de Incidente de Segurança

Mesmo nos casos em que não for necessário comunicar a ANPD sobre o incidente de segurança, a Resolução determina que o controlador deverá manter o seu registro por, no mínimo, 5 anos. As seguintes informações devem estar presentes no registro:

• A data de conhecimento do incidente;
• A descrição geral das circunstâncias em que o incidente ocorreu;
• A natureza e a categoria de dados afetados;
• O número de titulares afetados;
• A avaliação do risco e os possíveis danos aos titulares;
• As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
• A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
• Os motivos da ausência de comunicação, quando for o caso.

Para atualizações completas sobre o mundo jurídico, clique aqui e inscreva-se na nossa newsletter!

A equipe do Pinhão e Koiffman Advogados está à disposição para auxiliá-lo.