ANPD anuncia consulta pública sobre incidentes de segurança

​A Autoridade Nacional de Proteção de Dados (ANPD) anunciou, na última segunda-feira (22), a realização de tomada de subsídios para regulamentação sobre o dever de comunicação de incidentes de segurança previsto na Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD). Além disso, a Autoridade também divulgou documento com orientações sobre o tema, bem como modelo de formulário de comunicação de incidente de segurança de dados pessoais à ANPD.

Essas iniciativas fazem parte da Agenda Regulatória da ANPD para o biênio 2021-2022, aprovada pela Portaria nº 11 de 27 de janeiro de 2021, a qual prevê a regulamentação de uma série de temas previstos na LGPD, ainda pendentes de definição.

Medidas de segurança em casos de incidentes de segurança

Com o crescente número de incidentes de segurança envolvendo dados pessoais noticiados nos últimos meses, envolvendo tanto entes públicos como privados, o debate sobre a correta e tempestiva comunicação desses incidentes tornou-se prioritário. Por essa razão, antes mesmo da tomada de subsídios, a ANPD preparou o guia “Incidentes de Segurança de Dados Pessoais e sua avaliação para fins de comunicação à ANPD“, bem como disponibilizou formulário de comunicação de incidente de segurança de dados pessoais à ANPD.

O guia preparado pela ANPD endereça algumas questões importantes como:

• Definição de incidente de segurança de dados pessoais;
• O que fazer em caso de um incidente de segurança de dados pessoais;
• O que comunicar à Autoridade Nacional de Proteção de Dados;
• Em que situação e o que comunicar ao titular dos dados;
• Prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados;
• Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados.

Uma das principais novidades desse documento é o prazo para a notificação. A ANPD indica que “enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.”

O formulário, por sua vez, apresenta campos para a descrição objetiva do incidente, com os itens já listados no Artigo 48, parágrafo 1º da LGPD, bem como itens adicionais ao texto legal tais como:

• Data e hora da detecção;
• Data e hora do incidente e sua duração;
• Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
• Possíveis problemas de natureza transfronteiriça.

Esse template está disponível no site da ANPD e deve ser enviado por meio do sistema SEI de peticionamento eletrônico. É importante destacar que tanto o guia quanto o formulário ainda podem sofrer alterações, após a tomada de subsídios e subsequente regulamentação.

Como contribuir com a regulamentação da comunicação de incidentes

Por fim, o modelo para envio de contribuições sobre o tema disponibilizado pela ANPD apresenta questões a serem analisadas com objetivo de direcionar a tomada de subsídios da futura regulamentação. Dentre elas, destacam-se:

• Critérios para avaliação de risco ou dano relevante pela ANPD;
• Distinção entre risco ou dano;
• Considerações que devem ser feitas na avaliação de risco ou dano;
• Informações que os controladores devem apresentar à ANPD e aos titulares;
• Definição do prazo razoável para informar tanto a ANPD quanto os titulares;
• Possíveis exceções quanto à obrigatoriedade de informar a ANPD e os titulares, dentre outros.

As contribuições podem ser enviadas para o e-mail [email protected], com o assunto Tomada de Subsídios 2/2021, até o dia 24 de março de 2021.

Para mais informações sobre temas relacionados à segurança, conheça a prática de Proteção de Dados do Mattos Filho.