A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 26 de abril, o texto final do aguardado Regulamento de Comunicação de Incidente de Segurança. O documento delimita prazos concretos e sana as diversas dúvidas que pairavam sobre o tema, além de fornecer subsídios e demais parâmetros necessários para que as comunicações sobre incidentes de segurança sejam realizadas da forma mais adequada – tanto para a ANPD quanto para os titulares.
O Regulamento traz mudanças no cenário na comunicação, no registro de incidentes de segurança e nas providências posteriores. Anteriormente, o prazo para a comunicação era descrito apenas como um "tempo razoável" pela Lei Geral de Proteção de Dados (LGPD) e a ANPD orientava o prazo de dois dias úteis. Agora, os prazos foram definidos. Além disso, não existiam parâmetros definitivos a serem consultados para a avaliação da gravidade de um incidente.
Por fim, o Regulamento inova ao trazer regras sobre a extinção do processo de comunicação e procedimento de apuração de incidente de segurança, os quais não estavam estabelecidos anteriormente.
O Regulamento determina que a comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador em até três dias úteis, exceto quando houver prazo para comunicação previsto em legislação específica, e será contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.
A comunicação deverá conter, dentre outros: a descrição da natureza e da categoria de dados pessoais afetados; o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos; as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente; os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares; as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares; a data da ocorrência do incidente; os dados do encarregado ou de quem represente o controlador; e a identificação do controlador e do operador, quando aplicável.
Para a comunicação de incidente de segurança ao titular de dados, o Regulamento define o mesmo prazo de três dias úteis, além do conteúdo requerido que se assemelha ao mencionado acima. O texto, no entanto, ressalta que o controlador deverá fazer uso de linguagem simples e de fácil entendimento, além de contatar de forma direta e individualizada cada titular, caso seja possível identificá-los.
Ademais, o Regulamento também determina que o controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção.
Como já era previsto e mencionado em outros materiais publicados anteriormente pela ANPD, o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança sempre que esse possa acarretar risco ou dano relevante aos titulares. Nesse caso, serão considerados cenários em que o incidente puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, uma das seguintes categorias de dados: dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou dados tratados em larga escala.
Serão também consideradas circunstâncias em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Por fim, após avaliar a gravidade do incidente de segurança, a ANPD poderá determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares, como a divulgação do incidente em meios de comunicação e outras medidas para reverter ou mitigar os efeitos do incidente.
Nossa equipe de Cybersecurity & Data Privacy está atenta para as novas regras estabelecidas no cenário brasileiro da proteção de dados pessoais.
