Foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) o Regulamento de Comunicação de Incidente de Segurança, por meio da RESOLUÇÃO ANPD Nº 15, DE 24-04-2024. A norma dispõe sobre os procedimentos a serem adotados em caso de incidentes de segurança que acarretem risco ou dano relevante aos titulares de dados pessoais.

As ações aplicam-se aos processos de comunicação de incidentes de segurança já em curso. O Regulamento elenca definições e elucida pontos importantes, que visam ajudar os controladores de dados pessoais na avaliação de incidentes, na decisão sobre a necessidade de comunicação à ANPD e aos titulares, conteúdo e forma das comunicações, registros do incidente dentre outros aspectos relevantes.

Conforme o Regulamento, são incidentes de segurança aqueles que podem ocasionar risco ou dano relevante aos titulares, que possam afetar significativamente interesses e direitos fundamentais dos titulares e, conjuntamente, envolvam ao menos um dos seguintes critérios:

– Dados pessoais sensíveis;

– Dados de crianças, de adolescentes ou de idosos;

– Dados financeiros;

– Dados de autenticação em sistemas;

– Dados protegidos por sigilo legal, judicial ou profissional;

– Dados em larga escala.

Incidentes de segurança que podem afetar consideravelmente interesses e direitos fundamentais dos titulares serão caracterizados, entre outras, por situações em que a atividade de tratamento possa impedir o exercício de direitos ou a utilização de um serviço, ou ocasionar danos materiais ou morais aos titulares. São exemplos: a discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Ressaltando que o comunicado do incidente à ANPD e aos titulares deve ser realizada em até três dias úteis, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, salvo em caso de prazo diferente estabelecido em legislação específica. Esta comunicação poderá ser complementada com informações adicionais, de maneira fundamentada, no prazo de vinte dias úteis, contado da data da comunicação inicial. Lembrando que os prazos serão contados em dobro para os agentes de tratamento de pequeno porte.

Ainda, há também possibilidade, pelo Regulamento, de a ANPD instaurar procedimento para apurar a ocorrência de incidente de segurança que não tenha sido comunicado pelo controlador.

Ademais, o órgão ainda poderá publicar orientações com o objetivo de auxiliar os agentes de tratamento na avaliação do incidente que possa acarretar risco ou dano relevante aos titulares.

Considerações Finais

Caro (a) leitor (a), caso você tenha ficado com alguma dúvida a respeito do tema abordado neste artigo, ou tenha interesse em nos conhecer melhor, entre em contato conosco!

Nós atuamos no mercado de Gestão Empresarial há mais de 20 anos! Nossos consultores estão preparados para melhor lhe atender.

Gabriela Viana | Analista ESG