Assuntos

Editorias

ANPD publica regulamento de comunicação de incidente de segurança

Available in English

Notícias e Negócios

ANPD publica regulamento de comunicação de incidente de segurança

O regulamento entra em vigor na data da publicação e se aplica aos processos de incidentes de segurança em curso. São previstos critérios e prazos para a ANPD e para os titulares

Notícia

Assuntos

Proteção de Dados e Cybersecurity

Publicada em 26/04/2024

Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança (“Regulamento”), no âmbito da Lei Federal nº 13.709/18 (LGPD).

O Regulamento entra em vigor na data da publicação e se aplica aos processos de comunicação de incidentes de segurança em curso, respeitados os atos processuais praticados e consolidados.

São previstos, entre outros: definições relevantes, critérios e prazos para a comunicação de incidente à ANPD e aos titulares, critérios para a avaliação de risco ou dano relevante aos titulares, critérios para elaboração do registro de incidente e as atividades a serem adotadas pela ANPD diante da comunicação de incidentes.

Até então, a principal manifestação da ANPD sobre o tema foram as orientações gerais não vinculantes, publicadas em 2022. Além disso, em 2023, foi realizada uma consulta pública sobre o assunto, cujos resultados contribuíram para a elaboração do Regulamento.

Avaliação de risco ou dano relevante aos titulares

O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

O incidente de segurança pode acarretar risco ou dano relevante aos titulares quando, cumulativamente: puder afetar significativamente interesses e direitos fundamentais dos titulares; e envolver, pelo menos, um dos seguintes critérios:

Dados pessoais sensíveis;
Dados de crianças, de adolescentes ou de idosos;
Dados financeiros;
Dados de autenticação em sistemas;
Dados protegidos por sigilo legal, judicial ou profissional; ou
Dados em larga escala.

Esses critérios também serão analisados pela ANPD, após o recebimento da comunicação, para avaliar a gravidade do incidente, no âmbito do procedimento de comunicação de incidente de segurança.

Critérios para comunicação de incidente de segurança

Comunicação à ANPD

O Regulamento confirma as informações que a comunicação de incidente de segurança deve conter, conforme abaixo:

A descrição da natureza e da categoria de dados pessoais afetados;
O número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
As medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
Os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de três dias úteis;
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
A data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
Os dados do encarregado ou de quem represente o controlador;
A identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
A identificação do operador, quando aplicável;
A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
O total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.

A comunicação de incidente de segurança deverá ser realizada pelo controlador, encarregado ou por meio de representante constituído. No caso do encarregado e de representante, devem ser apresentados, respectivamente, documento comprobatório de vínculo contratual, empregatício ou funcional e instrumento com poderes de representação junto à ANPD. Caso essa obrigação seja descumprida, a ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração, conforme detalhado abaixo.

Comunicação aos titulares

A comunicação de incidente de segurança ao titular deverá conter as seguintes informações:

A descrição da natureza e da categoria de dados pessoais afetados;
As medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
Os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
Os motivos da demora, no caso de a comunicação não ter sido feita no prazo de três dias úteis;
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
A data do conhecimento do incidente de segurança; e
O contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

A comunicação deve, ainda, fazer uso de linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível identificar os titulares.

Caso a comunicação direta e individualizada mostre-se inviável ou não seja possível identificar, parcial ou integralmente, os titulares afetados, o controlador deverá comunicar a ocorrência do incidente pelos meios de divulgação disponíveis, tais como seu sítio eletrônico, aplicativos, suas mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.

O controlador deverá juntar ao processo de comunicação de incidente uma declaração de que foi realizada a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis, contados do término do prazo de três dias úteis para comunicação aos titulares.

Poderá ser considerada boa prática, para fins de parâmetros para aplicação de sanções administrativas, a inclusão, na comunicação ao titular, de recomendações aptas a reverter ou mitigar os efeitos do incidente.

Solicitação de sigilo

Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.

Prazos para comunicação do incidente

Comunicação à ANPD: a comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica. O prazo é contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.
Complementação das informações: as informações poderão ser complementadas, de maneira fundamentada, no prazo de 20 úteis, a contar da data da comunicação.
Comunicação aos titulares: a comunicação de incidente de segurança ao titular deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais.

Registro do incidente de segurança

O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. O documento também pode ser solicitado pela ANPD a qualquer tempo.

Tal registro deve conter, no mínimo:

A data de conhecimento do incidente;
A descrição geral das circunstâncias em que o incidente ocorreu;
A natureza e a categoria de dados afetados;
O número de titulares afetados;
A avaliação do risco e os possíveis danos aos titulares;
As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
Os motivos da ausência de comunicação, quando for o caso.

Atuação da ANPD no âmbito dos incidentes de segurança

Processo de comunicação de incidente de segurança: trata-se de processo administrativo instaurado no âmbito da ANPD que abrange o procedimento de apuração incidente de segurança e o procedimento de comunicação de incidente de segurança. Tem por objeto a fiscalização de atos relacionados ao tratamento e resposta ao incidente que possa acarretar risco ou dano relevante aos titulares de dados, a fim de salvaguardar os direitos dos titulares. A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento, ou determinar a sua realização, para coletar informações complementares ou validar as informações recebidas, com o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança. Ele se inicia de ofício, no caso de procedimento de apuração de incidente de segurança, ou com o recebimento da comunicação, devidamente formalizada, no caso de procedimento de comunicação de incidente de segurança.
Procedimento de apuração de incidente de segurança: procedimento instaurado pela ANPD para apurar a ocorrência de incidente de segurança que não tenha sido comunicado pelo controlador. A ANPD poderá requisitar ao controlador informações para apurar a ocorrência do incidente de segurança. A ANPD avaliará a ocorrência do incidente por meio dos mesmos critérios dispostos sobre avaliação de risco ou dano relevante aos titulares. Constatada a ocorrência de incidente de segurança, a ANPD determinará ao controlador o envio da comunicação à Autoridade e aos titulares, observados os prazos e condições previstos no próprio Regulamento.
Procedimento de comunicação de incidente de segurança: procedimento instaurado após o recebimento de comunicação de incidente de segurança. Após avaliar a gravidade do incidente de segurança, a ANPD poderá determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares, tais como: ampla divulgação do incidente em meios de comunicação (o que não se confunde com a sanção de publicização do incidente); e medidas para reverter ou mitigar os efeitos do incidente.

Extinção do Processo de Comunicação de Incidente de Segurança

O processo de comunicação de incidente de segurança será extinto nas seguintes hipóteses:

Caso não sejam identificadas evidências suficientes da ocorrência do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;
Caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares;
Caso o incidente não envolva dados pessoais;
Caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou
Realização da comunicação aos titulares e adoção das providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições do Regulamento e as determinações da ANPD.

Aplicação do Regulamento a agentes de tratamento de pequeno porte

Aplicam-se aos agentes de tratamento de pequeno porte (definidos na Resolução nº 2/2022 da ANPD) prazo em dobro para comunicação à ANPD (incluindo comunicação complementar) e aos titulares. Além disso, na comunicação à ANPD, os agentes de tratamento devem apresentar declaração que comprovem essa caracterização.

Webinar: Novo Regulamento de Comunicação de Incidente de Segurança da ANPD – o que as empresas precisam saber

O Mattos Filho te convida para um webinar em que abordará de forma objetiva os principais pontos do Regulamento de Comunicação de Incidente de Segurança da ANPD, publicado em 26 de abril de 2024 e já em vigor. Faça sua inscrição aqui.

Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.

Cookie	Duração	Descrição
AWSELB	session	Associated with Amazon Web Services and created by Elastic Load Balancing, AWSELB cookie is used to manage sticky sessions across production servers.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
WSS_FullScreenMode	session	This is a Microsoft SharePoint cookie used for internal use of the application to determine whether a page is shown in full screen mode.

Cookie	Duração	Descrição
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-24632609-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Duração	Descrição
319af4c0-e197-4de9-8a9b-fe98c8a2ca04	past	No description available.
79f08280-5c63-4331-b04d-fb6f39afda51	past	No description available.
wp-wpml_current_language	session	No description available.

ANPD publica regulamento de comunicação de incidente de segurança

Assuntos

Avaliação de risco ou dano relevante aos titulares

Critérios para comunicação de incidente de segurança

Comunicação à ANPD

Comunicação aos titulares

Solicitação de sigilo

Prazos para comunicação do incidente

Registro do incidente de segurança

Atuação da ANPD no âmbito dos incidentes de segurança

Extinção do Processo de Comunicação de Incidente de Segurança

Aplicação do Regulamento a agentes de tratamento de pequeno porte

Webinar: Novo Regulamento de Comunicação de Incidente de Segurança da ANPD – o que as empresas precisam saber

Nossos Profissionais

Fabio Kujawski

Luiz Felipe Di Sessa

Paulo Brancher

Thiago Sombra

Ingrid França Moraes Soares

Jaqueline Simas Claveland de Oliveira

Karine Lopes da Cruz Sousa

Natan Jamil Angelo

Veja Também

Últimas Notícias

Uso de inteligência artificial no agronegócio

Assuntos:

Ministério da Fazenda publica portaria para regular os sistemas de apostas de quota fixa

Assuntos:

Marco Legal para a indústria de jogos eletrônicos é sancionado

Assuntos: