Regulamento estabelece os procedimentos para comunicação de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O Conselho Diretor da Autoridade Nacional de Proteção de Dados – ANPD, por meio da Resolução CD/ANPD nº 15, de 24 de abril de 2024 (DOU de 26.04.2024), aprovou o Regulamento de Comunicação de Incidente de Segurança a que se refere o artigo 48 da Lei Geral de Proteção de Dados Pessoais – LGPD (lei nº 13.709/2018).
O Regulamento tem por objetivos estabelecer os procedimentos para comunicação de incidente de segurança que possa acarretar risco ou dano relevante aos titulares e, também: (i) proteger direitos dos titulares; (ii) assegurar adoção de medidas necessárias para mitigar/reverter os efeitos dos prejuízos gerados; (iii) assegurar efetividade do princípio da responsabilização e da prestação de contas pelos agentes de tratamento; (iv) promover a adoção de regras de boas práticas, de governança e de medidas de prevenção e segurança adequadas; (v) estimular promoção da cultura de proteção de dados pessoais; (vi) garantir que os agentes de tratamento atuem de forma transparente e estabeleçam relação de confiança com o titular; (vii) fornecer subsídios para as atividades regulatória, fiscalizatória e sancionatória da ANPD.
O controlador deve comunicar a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante, ou seja, que possam afetar significativamente interesses e direitos fundamentais e, cumulativamente, envolver pelo menos um dos seguintes critérios: (i) dados pessoais sensíveis; (ii) dados de crianças, adolescentes ou idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas; (v) dados protegidos por sigilo legal, judicial ou profissional; (vi) dados em larga escala.
A comunicação à ANPD deverá ser realizada pelo controlador no prazo de 3 dias úteis contado do seu conhecimento de que o incidente afetou dados pessoais, podendo haver complementação das informações, de maneira fundamentada, no prazo de 20 dias úteis a contar da data da comunicação.
Quanto aos titulares, a comunicação do incidente também será realizada no prazo de 3 dias úteis e deverá ocorrer de forma direta e individualizada (telefone, e-mail, mensagem eletrônica ou carta), com uso de linguagem simples e de fácil entendimento. Se não for possível identificar os titulares, o controlador deverá comunicar o incidente pelos meios de divulgação disponíveis, tais como sítio eletrônico, aplicativos, mídias sociais e canais de atendimento ao titular.
Os prazos são contados em dobro para os agentes de pequeno porte e os registros dos incidentes de segurança com dados pessoais deverão ser guardados por pelo menos 5 anos.
Nossos profissionais encontram-se à disposição para quaisquer esclarecimentos sobre o assunto.
Por: Dr. Cassius Marcellus Zomignani