Proteção de Dados – Comunicação de Incidente de Segurança
A Resolução CD/ANPD nº 15/2024, publicada no DOU de 26/04/2024, aprova o Regulamento de Comunicação de Incidente de Segurança, que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais).
/imgs.jusbr.com/publications/images/117cc4b5a83bede0a8c59fddd4d1f91d)
Critérios para Comunicação de Incidente de Segurança
O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; e pode acarretar risco ou dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:
a) dados pessoais sensíveis;
b) dados de crianças, de adolescentes ou de idosos;
c) dados financeiros;
d) dados de autenticação em sistemas;
e) dados protegidos por sigilo legal, judicial ou profissional; ou
f) dados em larga escala.
Prazo para a Comunicação de Incidente de Segurança à ANPD
A comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica; sendo que esse prazo será contado do conhecimento pelo controlador de que o incidente afetou dados pessoais; e deverá conter as seguintes informações:
a) a descrição da natureza e da categoria de dados pessoais afetados;
b) o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
c) as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
d) os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
e) os motivos da demora, no caso de a comunicação não ter sido realizada no prazo de três dias úteis;
f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
g) a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
h) os dados do encarregado ou de quem represente o controlador;
i) a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
j) a identificação do operador, quando aplicável;
k) a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
l) o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
As informações poderão ser complementadas, de maneira fundamentada, no prazo de 24 dias úteis, a contar da data da comunicação.
O controlador deverá comunicar o incidente de segurança por meio de formulário eletrônico disponibilizado pela ANPD, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD.
Esses documentos deverão ser apresentados juntamente com a comunicação do incidente de segurança, no prazo previsto de 3 dias uteis; e no caso de descumprimento desse procedimento, a ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração de incidente de segurança.
Para os agentes de pequeno porte, os prazos para complementação das informações são contados em dobro.
Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido.
A ANPD poderá, a qualquer tempo, solicitar informações adicionais ao controlador, referentes ao incidente de segurança, inclusive o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente, estabelecendo prazo para o envio das informações.
Comunicação de Incidente de Segurança ao Titular
A comunicação de incidente de segurança ao titular deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, e deverá conter as seguintes informações constantes nas letras a, c, d, e, f e g supracitadas e o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado; e deverá atender aos seguintes critérios:
a) fazer uso de linguagem simples e de fácil entendimento; e
b) ocorrer de forma direta e individualizada, caso seja possível identificá-los.
Caso a comunicação direta e individualizada mostre-se inviável ou não seja possível identificar, parcial ou integralmente, os titulares afetados, o controlador deverá comunicar a ocorrência do incidente, no prazo e com as informações estabelecidas no art. 9º da Resolução CD/ANPD nº 15/2024, pelos meios de divulgação disponíveis, tais como seu sítio eletrônico, aplicativos, suas mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.
Para os agentes de pequeno porte, os prazos são contados em dobro.
Registro do Incidente de Segurança
O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção; e não se aplicam às entidades previstas no art. 23 da Lei nº 13.709/2018 ( Lei Geral de Proteçâo de Dados Pessoais), desde que sejam observadas as regras aplicáveis aos documentos de guarda permanente previstas na tabela de temporalidade própria ou definidas pelo Conselho Nacional de Arquivos.
Processo de Comunicação de Incidente de Segurança
O processo de comunicação de incidente de segurança tem por objeto a fiscalização de atos relacionados ao tratamento e resposta ao incidente que possa acarretar risco ou dano relevante aos titulares de dados, a fim de salvaguardar os direitos dos titulares.
Aplicam-se ao processo de comunicação de incidente de segurança, no que couber, as disposições do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1/2021.
A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento, ou determinar a sua realização, para coletar informações complementares ou validar as informações recebidas, com o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança.
O processo de comunicação de incidente de segurança inicia-se de ofício, no caso de procedimento de apuração de incidente de segurança; ou com o recebimento da comunicação, devidamente formalizada, no caso de procedimento de comunicação de incidente de segurança.
No curso do processo de comunicação de incidente de segurança, a ANPD poderá determinar ao controlador, com ou sem a sua prévia manifestação, a adoção imediata de medidas preventivas necessárias para salvaguardar direitos dos titulares, a fim de prevenir, mitigar ou reverter os efeitos do incidente e evitar a ocorrência de dano grave e irreparável ou de difícil reparação; e poderá fixar multa diária para assegurar o cumprimento dessa determinação.
Extinção do Processo de Comunicação de Incidente de Segurança
O processo de comunicação de incidente de segurança será declarado extinto nas seguintes hipóteses:
a) caso não sejam identificadas evidências suficientes da ocorrência do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;
b) caso a ANPD considere que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares;
c) caso o incidente não envolva dados pessoais;
d) caso tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; ou
e) realização da comunicação aos titulares e adoção das providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições do Regulamento de Comunicação de Incidente de Segurança e as determinações da ANPD; nesta hipótese, mesmo com a declaração da extinção do processo de comunicação de incidente de segurança, a ANPD poderá determinar a adoção de medidas de segurança diretamente relacionadas ao incidente, com o intuito de salvaguardar os direitos dos titulares.
Vigência
A Resolução CD/ANPD nº 15/2024 entra em vigor na data de sua publicação no DOU, ou seja, 26/04/2024.
Fonte: CENOFISCO
0 Comentários
Faça um comentário construtivo para esse documento.