ANPD publica regulamento de comunicação de incidente de segurança
O regulamento entra em vigor na data da publicação e se aplica aos processos de incidentes de segurança em curso. São previstos critérios e prazos para a ANPD e para os titulares
Assuntos
Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança (“Regulamento”), no âmbito da Lei Federal nº 13.709/18 (LGPD).
O Regulamento entra em vigor na data da publicação e se aplica aos processos de comunicação de incidentes de segurança em curso, respeitados os atos processuais praticados e consolidados.
São previstos, entre outros: definições relevantes, critérios e prazos para a comunicação de incidente à ANPD e aos titulares, critérios para a avaliação de risco ou dano relevante aos titulares, critérios para elaboração do registro de incidente e as atividades a serem adotadas pela ANPD diante da comunicação de incidentes.
Até então, a principal manifestação da ANPD sobre o tema foram as orientações gerais não vinculantes, publicadas em 2022. Além disso, em 2023, foi realizada uma consulta pública sobre o assunto, cujos resultados contribuíram para a elaboração do Regulamento.
Avaliação de risco ou dano relevante aos titulares
O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O incidente de segurança pode acarretar risco ou dano relevante aos titulares quando, cumulativamente: puder afetar significativamente interesses e direitos fundamentais dos titulares; e envolver, pelo menos, um dos seguintes critérios:
- Dados pessoais sensíveis;
- Dados de crianças, de adolescentes ou de idosos;
- Dados financeiros;
- Dados de autenticação em sistemas;
- Dados protegidos por sigilo legal, judicial ou profissional; ou
- Dados em larga escala.
Esses critérios também serão analisados pela ANPD, após o recebimento da comunicação, para avaliar a gravidade do incidente, no âmbito do procedimento de comunicação de incidente de segurança.
Critérios para comunicação de incidente de segurança
Comunicação à ANPD
O Regulamento confirma as informações que a comunicação de incidente de segurança deve conter, conforme abaixo:
- A descrição da natureza e da categoria de dados pessoais afetados;
- O número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
- As medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
- Os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de três dias úteis;
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
- A data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
- Os dados do encarregado ou de quem represente o controlador;
- A identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
- A identificação do operador, quando aplicável;
- A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
- O total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
A comunicação de incidente de segurança deverá ser realizada pelo controlador, encarregado ou por meio de representante constituído. No caso do encarregado e de representante, devem ser apresentados, respectivamente, documento comprobatório de vínculo contratual, empregatício ou funcional e instrumento com poderes de representação junto à ANPD. Caso essa obrigação seja descumprida, a ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração, conforme detalhado abaixo.
Comunicação aos titulares
A comunicação de incidente de segurança ao titular deverá conter as seguintes informações:
- A descrição da natureza e da categoria de dados pessoais afetados;
- As medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
- Os motivos da demora, no caso de a comunicação não ter sido feita no prazo de três dias úteis;
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
- A data do conhecimento do incidente de segurança; e
- O contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.
A comunicação deve, ainda, fazer uso de linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível identificar os titulares.
Caso a comunicação direta e individualizada mostre-se inviável ou não seja possível identificar, parcial ou integralmente, os titulares afetados, o controlador deverá comunicar a ocorrência do incidente pelos meios de divulgação disponíveis, tais como seu sítio eletrônico, aplicativos, suas mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.
O controlador deverá juntar ao processo de comunicação de incidente uma declaração de que foi realizada a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis, contados do término do prazo de três dias úteis para comunicação aos titulares.
Poderá ser considerada boa prática, para fins de parâmetros para aplicação de sanções administrativas, a inclusão, na comunicação ao titular, de recomendações aptas a reverter ou mitigar os efeitos do incidente.
Solicitação de sigilo
Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.
Prazos para comunicação do incidente
- Comunicação à ANPD: a comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica. O prazo é contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.
- Complementação das informações: as informações poderão ser complementadas, de maneira fundamentada, no prazo de 20 úteis, a contar da data da comunicação.
- Comunicação aos titulares: a comunicação de incidente de segurança ao titular deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais.
Registro do incidente de segurança
O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. O documento também pode ser solicitado pela ANPD a qualquer tempo.
Tal registro deve conter, no mínimo:
- A data de conhecimento do incidente;
- A descrição geral das circunstâncias em que o incidente ocorreu;
- A natureza e a categoria de dados afetados;
- O número de titulares afetados;
- A avaliação do risco e os possíveis danos aos titulares;
- As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
- A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
- Os motivos da ausência de comunicação, quando for o caso.
Atuação da ANPD no âmbito dos incidentes de segurança
- Processo de comunicação de incidente de segurança: trata-se de processo administrativo instaurado no âmbito da ANPD que abrange o procedimento de apuração incidente de segurança e o procedimento de comunicação de incidente de segurança. Tem por objeto a fiscalização de atos relacionados ao tratamento e resposta ao incidente que possa acarretar risco ou dano relevante aos titulares de dados, a fim de salvaguardar os direitos dos titulares. A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento, ou determinar a sua realização, para coletar informações complementares ou validar as informações recebidas, com o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança. Ele se inicia de ofício, no caso de procedimento de apuração de incidente de segurança, ou com o recebimento da comunicação, devidamente formalizada, no caso de procedimento de comunicação de incidente de segurança.
- Procedimento de apuração de incidente de segurança: procedimento instaurado pela ANPD para apurar a ocorrência de incidente de segurança que não tenha sido comunicado pelo controlador. A ANPD poderá requisitar ao controlador informações para apurar a ocorrência do incidente de segurança. A ANPD avaliará a ocorrência do incidente por meio dos mesmos critérios dispostos sobre avaliação de risco ou dano relevante aos titulares. Constatada a ocorrência de incidente de segurança, a ANPD determinará ao controlador o envio da comunicação à Autoridade e aos titulares, observados os prazos e condições previstos no próprio Regulamento.
- Procedimento de comunicação de incidente de segurança: procedimento instaurado após o recebimento de comunicação de incidente de segurança. Após avaliar a gravidade do incidente de segurança, a ANPD poderá determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares, tais como: ampla divulgação do incidente em meios de comunicação (o que não se confunde com a sanção de publicização do incidente); e medidas para reverter ou mitigar os efeitos do incidente.
Extinção do Processo de Comunicação de Incidente de Segurança
O processo de comunicação de incidente de segurança será extinto nas seguintes hipóteses:
- Caso não sejam identificadas evidências suficientes da ocorrência do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;
- Caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares;
- Caso o incidente não envolva dados pessoais;
- Caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou
- Realização da comunicação aos titulares e adoção das providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições do Regulamento e as determinações da ANPD.
Aplicação do Regulamento a agentes de tratamento de pequeno porte
Aplicam-se aos agentes de tratamento de pequeno porte (definidos na Resolução nº 2/2022 da ANPD) prazo em dobro para comunicação à ANPD (incluindo comunicação complementar) e aos titulares. Além disso, na comunicação à ANPD, os agentes de tratamento devem apresentar declaração que comprovem essa caracterização.
Webinar: Novo Regulamento de Comunicação de Incidente de Segurança da ANPD – o que as empresas precisam saber
O Mattos Filho te convida para um webinar em que abordará de forma objetiva os principais pontos do Regulamento de Comunicação de Incidente de Segurança da ANPD, publicado em 26 de abril de 2024 e já em vigor. Faça sua inscrição aqui.
Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.