ANPD abre consulta pública sobre norma de comunicação de incidente de segurança

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 2 de maio de 2023, uma consulta pública para receber contribuições sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.

A consulta pública tem o objetivo de regular a comunicação à ANPD e aos titulares afetados, no caso da ocorrência de incidente de segurança envolvendo dados pessoais que possa causar risco ou dano relevante aos titulares, conforme artigo 48 da Lei nº 13.709/2018 (LGPD). Dentre suas disposições, a minuta regula:

• Classificação de risco ou dano relevante: um incidente pode acarretar risco ou dano relevante aos titulares quando tiver o potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos dados sensíveis, dados de crianças, de adolescentes ou idosos; dados financeiros; dados de autenticação em sistema; ou dados em larga escala;
• Prazo: a comunicação deverá ser realizada pelo controlador à ANPD e ao titular dos dados no prazo de três dias úteis a contar do conhecimento do incidente;
• Forma de comunicação aos titulares: a comunicação aos titulares deve ocorrer de forma direta e individualizada, caso seja possível identificá-los. Caso isso se mostre inviável, o controlador deverá comunicar a ocorrência do incidente pelos meios de divulgação disponíveis, tais como na sua página na internet, em aplicativos, em suas mídias sociais e em canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização pelo período de, no mínimo, seis meses;
• Registro de incidentes: o controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares, pelo prazo mínimo de cinco anos;
• Procedimento de Apuração de Incidente de Segurança: ANPD poderá iniciar tal procedimento nas hipóteses em que tomar conhecimento de um incidente de segurança envolvendo dados pessoais que não tenha sido comunicado pelo controlador nos prazos e nas condições estabelecidas neste Regulamento;
• Outras medidas e providências: a depender da gravidade do incidente, a ANPD poderá determinar a ampla divulgação do incidente em meios de comunicação ou outras medidas para reverter ou mitigar os efeitos do ocorrido.

Tomada de subsídios sobre temas importantes

A ANPD lançou uma tomada de subsídios, em fevereiro de 2021, para receber contribuições iniciais sobre temas de relevância para a futura regulamentação sobre incidente de segurança da informação, incluindo critérios para avaliação de risco, definição do prazo razoável, possíveis exceções quanto à obrigatoriedade de informar a ANPD e os titulares, dentre outros.

Atualmente, a ANPD tem publicado em seu site orientações não vinculantes sobre o tema, que visam fornecer esclarecimentos e recomendações gerais sobre o dever de comunicação enquanto a regulamentação não é concluída.

Além da consulta pública, a ANPD informou que, em breve, serão divulgadas as informações sobre a audiência pública do tema, que ocorrerá em formato virtual e será transmitida pelo canal da ANPD no YouTube.

As contribuições poderão ser enviadas, por meio da Plataforma Participa + Brasil, até 31 de maio de 2023.

Para mais informações sobre temas relacionados à segurança, conheça a prática de Proteção de Dados e Cibersecurity do Mattos Filho.