‍

A Autoridade Nacional de Proteção de Dados (ANPD), entidade pública brasileira criada pela Lei Geral de Proteção de Dados (LGPD) responsável pela regulamentação, fiscalização, orientação, educação e ação em incidentes de segurança que envolvam dados pessoais, bem como pela cooperação com outras entidades internacionais congêneres, publicou no Diário Oficial da União em 26 de abril de 2024 a Resolução CD/ANPD 15, de 24 de abril de 2024. Aproveitando a última consulta pública sobre o tema, a resolução aprovou o Regulamento de Comunicação de Incidente de Segurança.

Abaixo são destacas as principais novidades trazidas pelo regulamento:

‍

QUANDO A COMUNICAÇÃO É OBRIGATÓRIA

O processo de comunicação de incidente de segurança inicia-se:

‍

1. De ofício, no caso de procedimento de apuração de incidente de segurança.

2. Com o recebimento da comunicação, devidamente formalizada por meio de formulário eletrônico disponibilizado pela ANPD preenchido pelo Encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD no caso de procedimento de comunicação de incidente de segurança.

‍

Incidentes de segurança envolvendo dados pessoais devem ser sempre comunicados à ANPD. Isso pode ser feito por meio de seu formulário eletrônico na Internet e ao titular de dados quando envolver um dos seguintes critérios listados abaixo:

‍

1. Dados pessoais sensíveis;

2. Dados de crianças, de adolescentes ou de idosos;

3. Dados financeiros;

4. Dados de autenticação em sistemas;

5. Dados protegidos por sigilo legal, judicial ou profissional;

6. Dados em larga escala.

‍

PRAZO PARA COMUNICAÇÃO DO INCIDENTE DE SEGURANÇA ENVOLVENDO DADOS PESSOAIS

A comunicação do incidente de segurança envolvendo dados pessoais deve ser feita à ANPD e ao titular de dados no prazo de 3 dias úteis a partir do momento em que o controlador tomar conhecimento de que o incidente afetou esses dados. Para os agentes (sejam controladores ou operadores) de pequeno porte, o prazo é contado em dobro.

Se a extensão do problema e a quantidade de titulares de dados pessoais não for identificável dentro desse prazo, é recomendável realizar a comunicação de forma preliminar dentro do prazo, esclarecendo que a apuração está em andamento para determinar os titulares de dados que foram impactados e os tipos de dados indevidamente acessados ou compartilhados. Feita a apuração, o controlador terá 20 dias úteis para complementar tais informações.

A ANPD pode ainda instaurar processo administrativo sancionador para apurar o descumprimento dos prazos citados acima.

‍

O QUE DEVE SER COMUNICADO À ANPD

A comunicação de incidente de segurança envolvendo dados pessoais à ANPD deverá conter as seguintes informações:

‍

1. A descrição da natureza e da categoria de dados pessoais afetados;

2. O número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

3. As medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;

4. Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

5. Os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de 3 dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais;

6. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

7. A data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;

8. Os dados do encarregado ou de quem represente o controlador;

9. A identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

10. A identificação do operador, quando aplicável;

11. A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la;

12. O total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente;

‍

A comunicação de incidente de segurança deverá ser realizada pelo controlador, por meio do Encarregado (DPO, Data Protection Officer), e acompanhada de documento que comprove o vínculo contratual, empregatício ou funcional, ou então por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD. O controlador também pode solicitar sigilo à ANPD, de maneira fundamentada, para as informações protegidas por lei, cujo acesso deverá ser restringido.

A ANPD poderá, a qualquer momento, solicitar ao controlador o envio do registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente, estabelecendo prazo para o envio dessas informações.

‍

O QUE DEVE SER COMUNICADO AO TITULAR DE DADOS

A comunicação de incidente de segurança envolvendo dados pessoais ao titular dos dados pessoais deverá conter as seguintes informações:

‍

1. A descrição da natureza e da categoria de dados pessoais afetados;

2. As medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

3. Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

4. Os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de 3 dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais;

5. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

6. A data do conhecimento do incidente de segurança;

7. O contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

‍

É importante salientar que o comunicado deve utilizar uma linguagem simples e de fácil entendimento, que seja direta e individualizada a cada titular de dados pessoais. Caso não seja possível, o controlador deverá comunicar a ocorrência do incidente no prazo e com as informações definidas no caput pelos meios de divulgação disponíveis, tais como pelo seu site, aplicativos, mídias sociais e canais de atendimento ao titular. Desse modo, a comunicação ser de conhecimento amplo, com visualização direta e fácil pelo período mínimo de três meses.

Para fins de comprovação junto à ANPD, o controlador deverá juntar ao processo de comunicação de incidente uma declaração de que a comunicação aos titulares foi realizada. Essa comprovação deve conter os meios de comunicação ou divulgação utilizados, em até três dias úteis; ou se o prazo não possa ter sido cumprido, as razões pelas quais o controlador não foi capaz de atender à tal disposição.

‍

REGISTRO INTERNO DO INCIDENTE DE SEGURANÇA

O controlador deverá manter internamente o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro. Há exceções se constatadas obrigações adicionais que demandem maior prazo de manutenção.

O registro do incidente de segurança deverá conter, no mínimo:

‍

1. A data de conhecimento do incidente;

2. A descrição geral das circunstâncias em que o incidente ocorreu;

3. A natureza e a categoria de dados afetados;

4. O número de titulares afetados;

5. A avaliação do risco e os possíveis danos aos titulares;

6. As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;

7. A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares;

8. Os motivos da ausência de comunicação, quando for o caso.

‍

AUDITORIAS OU INSPEÇÕES

A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento (controlador e operador), ou determinar a sua realização, para coletar informações complementares ou validar as informações recebidas. Isso tem o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança.

Durante o processo de comunicação de incidente de segurança, a ANPD poderá determinar que o controlador, com ou sem a sua prévia manifestação, adote imediatamente medidas preventivas necessárias para salvaguardar direitos dos titulares. Essas medidas têm o objetivo de prevenir, mitigar ou reverter os efeitos do incidente de segurança, assim como evitar a ocorrência de dano grave e irreparável ou de difícil reparação aos titulares de dados pessoais. A ANPD pode também fixar multa diária para assegurar o cumprimento da determinação.

É possível ainda que ANPD determine ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares, que não se confundem com penalidades, tais como:

‍

1. Ampla divulgação do incidente em meios de comunicação, às expensas do controlador, quando a comunicação realizada pelo controlador mostrar-se insuficiente para alcançar parcela significativa dos titulares afetados pelo incidente de segurança envolvendo dados pessoais, devendo ser compatível com a abrangência de atuação do controlador e a localização dos titulares dos dados pessoais afetados no incidente, podendo ser por (i) mídia escrita impressa, (ii) radiodifusão de sons e de sons e imagens e (iii) transmissão de informações pela Internet;

2. Medidas para reverter ou mitigar os efeitos do incidente sendo consideradas aquelas que possam garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados pessoais afetados, bem como minimizar os efeitos decorrentes do incidente para os titulares.

‍

EXTINÇÃO DO PROCESSO DE COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA

O processo de comunicação de incidente de segurança será declarado extinto pela ANPD nas seguintes hipóteses:

‍

1. Caso não sejam identificadas evidências suficientes da ocorrência do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;

2. Caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares;

3. Caso o incidente não envolva dados pessoais;

4. Caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados;

5. Realização da comunicação aos titulares e adoção das providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições deste Regulamento e as determinações da ANPD.

‍