No primeiro semestre do ano, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança. Apesar de estar vigente há cerca de sete meses, tendo em vista o aumento expressivo das atividades fiscalizadoras e denúncias recebidas pela ANPD, vale a pena relembrar alguns pontos deste regulamento.
Quando deve haver a comunicação
A comunicação à ANPD e aos titulares de dados deverá ocorrer sempre que ocorrer um incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Porém, o que é risco ou dano relevante?
Risco ou dano relevante é definido pelo Regulamento como situação que possa afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolva uma das seguintes categorias de dados pessoais:
– Dados pessoais sensíveis;
– Dados de crianças, de adolescentes ou de idosos;
– Dados financeiros;
– Dados de autenticação em sistemas;
– Dados protegidos por sigilo legal, judicial ou profissional; ou
– Dados em larga escala.
Por sua vez, questiona-se: quando ocorrerá afetação significativa de interesses ou direitos fundamentais dos titulares de dados? O Regulamento indica que tal situação ocorrerá, dentre outras situações, quando a atividade de tratamento:
– Puder impedir o exercício de direitos ou a utilização de um serviço;
– Puder ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Nota-se que a definição ainda não está completamente balizada, o que ocorre com diversas outras situações envolvendo proteção de dados pessoais. Tanto é que o próprio Regulamento prevê que a ANPD poderá publicar orientações com o objetivo de auxiliar os agentes de tratamento na avaliação do incidente que possa acarretar risco ou dano relevante aos titulares.
Ainda, entender conceitos como “dados financeiros”, que são compreendidos pelas informações relacionadas a aquisições de produtos e contratações de serviços, e “dados em larga escala”, que corresponde a alto volume de dados de um número significativo de titulares – outra definição com critérios abertos que leva, também, em consideração a duração, a frequência e a extensão geográfica da localização dos titulares.
Portanto, o conhecimento das precedentes, nacionais e internacionais, é essencial para a identificação da necessidade de comunicação do incidente à ANPD e aos titulares de dados pessoais.
E qual o prazo?
Assim que o Controlador tomar conhecimento que o incidente de segurança afetou dados pessoais (aqui, “afetou”, não “afetou significativamente interesses e direitos fundamentais”), deverá comunicar à ANPD e os titulares no prazo de 3 (três) dias úteis, salvo exceções previstas em legislações específicas.
No prazo de 20 dias úteis da comunicação inicial, o Controlador poderá complementá-la, a fim de fornecer as informações exigidas pela ANPD.
Deve-se reforçar que, mesmo que não haja a comunicação à ANPD, caso a autoridade venha a tomar conhecimento de incidente de segurança que possa afetar significativamente os interesses e direitos fundamentais dos titulares, poderá iniciar processo de apuração e, eventualmente, sanção pelo descumprimento do dever de comunicação e eventuais outras infrações à Lei Geral de Proteção de Dados Pessoais.
Registre o incidente
Mesmo nos casos em que não houver comunicação do incidente à ANPD e aos titulares, o registro do incidente de segurança deverá ser realizado e mantido pelo Controlador pelo prazo mínimo de 5 (cinco) anos. O registro deverá conter informações como:
– A data de conhecimento do incidente;
– A descrição geral das circunstâncias em que o incidente ocorreu;
– A natureza e a categoria de dados afetados;
– O número de titulares afetados;
– A avaliação do risco e os possíveis danos aos titulares;
– As medidas de correção e mitigação dos efeitos do incidente;
– A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
– Os motivos da ausência de comunicação, quando for o caso.
O preparo é essencial
Em razão do curto prazo para eventual comunicação do incidente de segurança, é essencial que as empresas estejam preparadas para atuar e tenham um plano de ação estruturado e pronto para ser posto em prática.
Caso queira conversar sobre estratégias de atuação e planos de ação em casos de incidentes de segurança, entre em contato com a Alves Oliveira.
