Newsletters
ANPD abre consulta pública acerca da norma de comunicação de incidentes de segurança envolvendo dados pessoais
No último dia 2 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) publicou consulta pública acerca da minuta de resolução correspondente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais (Regulamento), visando regulamentar o artigo 48 e parágrafos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
A proposta do Regulamento vem após a publicação de orientações da ANPD sobre comunicação de incidentes, originalmente divulgadas em fevereiro de 2021 e atualizadas em dezembro de 2022. A consulta pública acerca do texto do Regulamento está aberta para colaboração do público até 31 de maio, por meio da Plataforma +Brasil. Ainda, no dia 23 de maio será realizada pela ANPD audiência pública para debater a proposta.
De acordo com a minuta proposta, o Regulamento em questão visa normatizar o processo de comunicação de incidente de segurança com dados pessoais que possa acarretar risco ou dano relevante aos titulares, tendo a comunicação o objetivo de, entre outros, proteger os direitos dos titulares, assegurar a adoção de medidas necessárias para mitigar ou reverter os prejuízos gerados pelo incidente e garantir que os agentes de tratamento atuem de forma transparente e estabeleçam uma relação de confiança com o titular de dados.
Apresentamos abaixo um breve resumo dos principais pontos da sugestão de Regulamento, incluindo comentários acerca de pontos que, em nosso entendimento, merecem revisão, antes da publicação da norma definitiva.
O que é um incidente de segurança com dados pessoais?
De acordo com a definição proposta pela minuta do Regulamento, um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.
Desse modo, é importante esclarecer que um incidente não se limita apenas à divulgação indevida de dados pessoais, comumente chamado de “vazamento de dados”, já que a perda ou alteração indevida de dados pessoais também são eventos comunicáveis nos termos do artigo 48 da LGPD, desde que capazes de gerar risco ou dano relevante ao titular.
Quais os critérios para comunicação de incidentes de segurança com dados pessoais?
O artigo 48 da LGPD estabelece o dever de comunicação de incidentes que possam acarretar risco ou dano relevante aos titulares de dados pessoais. Assim, o Regulamento proposto pela ANPD busca estabelecer critérios para a definição do que pode ser entendido por um incidente desta natureza.
De acordo com a proposta, um incidente pode acarretar risco relevante quando envolver um dos critérios abaixo listados, cumulativamente com o potencial de afetar significativamente interesses e direitos fundamentais dos titulares:
- Dados sensíveis;
- Dados de crianças, de adolescente ou de idosos;
- Dados financeiros;
- Dados de autenticação em sistemas; ou
- Dados em larga escala.
Adicionalmente, será considerado um incidente com potencial de afetar significativamente interesses e direitos fundamentais dos titulares aquele que possa:
- Impedir ou limitar o exercício de direitos ou a utilização de um serviço; ou
- Ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
Ou seja, a cumulação de um critério de cada uma das listas acima levará à necessidade de comunicação do incidente tanto à ANPD quanto ao titular dos dados.
A classificação para comunicação de incidentes proposta, no entanto, merece algumas considerações. Inicialmente, cumpre ressaltar que o critério proposto de que o incidente pode ocasionar “danos materiais ou morais aos titulares” é vago e de difícil apuração prática, na medida em que a análise do que é capaz ou não de gerar danos morais ou materiais depende, essencialmente, da análise do Poder Judiciário, sob a ótica de responsabilidade civil.
Além disso, o critério de larga escala (isto é, se o incidente afetou número significativo de titulares, considerando o volume de dados envolvidos e a extensão geográfica de localização dos titulares) deveria ser considerado de forma apartada da natureza dos dados afetados. Da forma que o Regulamento é proposto hoje, é possível a interpretação de que um incidente envolvendo dados pessoais sensíveis, mesmo que de um único titular, sempre deveria ser comunicado à ANPD, considerando o risco discriminatório intrinsecamente relacionado aos dados desta natureza.
No entanto, a título exemplificativo, não nos parece razoável movimentar a máquina pública para comunicar à ANPD incidente envolvendo dados pessoais sensíveis de um único titular. Nesse tipo de situação, seria mais eficiente (e suficiente) apenas comunicar o próprio titular acerca do ocorrido, possibilitando que o controlador, e o próprio titular, adotem eventuais medidas mitigadoras de risco, caso sejam necessárias.
Entendemos, portanto, que o volume de dados afetados deveria ser um critério apartado para a definição do risco do incidente, analisado conjuntamente com os demais critérios sugeridos pela ANPD, para apuração da necessidade de comunicação ao órgão.
Qual o prazo proposto para comunicação do incidente?
A proposta de Regulamento indica o prazo de 03 (três) dias úteis da ciência do incidente pelo controlador, tanto para comunicação à ANPD como ao titular de dados. Esse prazo corresponde a uma extensão do prazo atualmente recomendado pela ANPD em suas orientações, que é de 02 (dois) dias úteis.
No entanto, a ANPD indica no Regulamento prazo máximo de 20 (vinte) dias para a complementação das informações sobre o incidente, contados da ciência do incidente e prorrogável uma única vez, por igual período, mediante solicitação fundamentada a ser avaliada pela ANPD.
Esta previsão, portanto, estabelece prazo limite para a finalização da análise técnica de um incidente pelo controlador, de modo que seja possível fornecer todas as informações necessárias no prazo máximo previsto na futura regulamentação.
Qual o teor da comunicação a ser realizada à ANPD e ao titular?
O Regulamento proposto indica as informações que devem constar nos comunicados à ANPD e ao titular de dados acerca do ocorrido. Com relação à ANPD, as informações exigidas são bastante semelhantes àquelas atualmente exigidas no formulário de comunicação de incidentes, com maiores detalhes acerca dos titulares afetados, devendo ser discriminada a quantidade de crianças, adolescentes ou idosos afetados. Há também a necessidade de informar o número total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente, de modo a apurar o critério de larga escala.
Além disso, o controlador deve declarar que foi realizada a comunicação aos titulares, levando à interpretação de que os titulares devem ser comunicados previamente à comunicação à ANPD.
Com relação à comunicação aos titulares, esta deve conter: (i) descrição da natureza e da categoria de dados pessoais afetados; (ii) riscos ou impactos ao titular decorrentes do incidente; (iii) medidas adotadas para reverter ou mitigar os efeitos do incidente; (iv) data de ciência do incidente; e (v) contato para obtenção e informações e dados do encarregado de proteção de dados.
O Regulamento sugerido reforça a última recomendação da ANPD, no sentido de que a comunicação deve ser realizada de forma direta e individualizada aos titulares (como pelo e-mail ou telefone já utilizado para contato com o titular), exceto se for inviável prosseguir dessa forma, hipótese em que será possível a comunicação geral pública, como por exemplo, através do site do controlador ou de suas mídias sociais.
A proposta da ANPD indica, ainda, que o controlador deverá manter registro de incidentes de segurança com dados pessoais, inclusive aqueles não comunicados à ANPD e aos titulares, pelo prazo mínimo de cinco anos contados da data do registro, sendo definidos no Regulamento os dados mínimos que devem constar de tal registro.
Procedimento administrativo
Com relação aos procedimentos administrativos, o Regulamento prevê o processo de comunicação de incidente de segurança com dados pessoais, instaurado no âmbito da ANPD, com o objetivo de verificar a ocorrência de incidentes de segurança com dados pessoais capazes de acarretar risco ou dano relevante aos titulares de dados.
Esse processo pode incluir o (i) Procedimento de Apuração de Incidentes de Segurança, pelo qual a ANPD pode apurar a ocorrência de um incidente não comunicado pelo controlador; e o (ii) Procedimento de Comunicação de Incidente de Segurança, pelo qual a ANPD analisa incidente comunicado pelo controlador, descritos no Regulamento.
Como pontos relevantes, importante destacar que a proposta de Regulamento prevê que a ANPD poderá, a qualquer momento, realizar auditorias ou inspeções junto aos agentes de tratamento para coletar informações complementares ou validar as informações recebidas, com o objetivo de subsidiar as decisões no âmbito do processo de comunicação de incidente de segurança com dados pessoais.
Além disso, após a avaliação da gravidade do incidente, a ANPD poderá determinar ao controlador que adote medidas de salvaguarda dos direitos dos titulares, como a ampla divulgação do incidente em meios de comunicação ou a adoção de medidas para reverter o mitigar os efeitos do incidente.
Ainda, o Regulamento prevê que a ANPD poderá instaurar processo administrativo sancionador caso o controlador não adote as medidas para reverter ou mitigar os efeitos do incidente no prazo e nas condições por ela determinados.
O texto completo da proposta de Regulamento está disponível aqui.
Nossa equipe especializada na prática de Tecnologia, Proteção de Dados e Propriedade Intelectual acompanha de perto as mudanças que impactam o mercado brasileiro. Para obter esclarecimentos sobre o tema, ou outros que sejam de seu interesse, entre em contato com nossos profissionais.
Tem alguma dúvida? Entre em contato com a nossa equipe marketing@lefosse.com
