ANPD divulga novas orientações para a comunicação de incidentes de segurança envolvendo dados pessoais

A Autoridade Nacional de Proteção de Dados (“ANPD”) atualizou, em 23 de dezembro, suas orientações relacionadas à comunicação de incidentes de segurança da informação envolvendo dados pessoais, apresentando, inclusive, novo formulário a ser preenchido quando da comunicação de incidentes ao órgão. Esta é a primeira grande atualização às orientações da ANPD sobre o tema, publicadas originalmente em fevereiro de 2021.

Conforme estabelecido pelo artigo 48 da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (“LGPD”), deve ser comunicada à ANPD a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Deste modo, a ANPD analisa, em suas recomendações, dentre outros aspectos, o que pode ser interpretado como incidente de segurança e risco ou dano relevante, para fins da LGPD.

O que é um incidente de segurança com dados pessoais?

Em suas orientações atualizadas, a ANPD esclarece que são incidentes de segurança envolvendo dados pessoais os eventos adversos confirmados que comprometam a confidencialidade, integridade ou disponibilidade de dados pessoais. Deste modo, não apenas a divulgação indevida de dados pessoais, como também sua perda ou alteração indevida são eventos comunicáveis nos termos do artigo 48 da LGPD, desde que capazes de gerar risco ou dano relevante ao titular.

Quais critérios devem ser considerados para a definição da ocorrência de risco ou dano relevante ao titular?

Sobre os critérios para definição da ocorrência de risco ou dano relevante ao titular, a ANPD indica que devem ser considerados, dentre outros aspectos:

O contexto da atividade de tratamento de dados;
As categorias e quantidade de titulares afetados;
Os tipos e quantidade de dados violados;
Os potenciais danos materiais, morais ou reputacionais causados aos titulares;
Se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares; e
As medidas de mitigação adotadas após o incidente.

Além disso, a ANPD esclarece que são incidentes capazes de causar risco ou dano relevante aqueles que possam causar danos materiais ou morais aos titulares, expô-los a situações de discriminação ou de roubo de identidade, especialmente caso envolvam dados em larga escala, sensíveis ou de grupos vulneráveis (incluindo menores de idade e idosos).

Quem é responsável pela comunicação do incidente?

Os incidentes que se enquadrem na hipótese de comunicação obrigatória prevista pela LGPD devem ser comunicados pelo controlador dos dados pessoais, por meio por meio do encarregado de proteção de dados ou por procurador.

A ANPD reforça que cabe ao controlador de dados pessoais obter junto a operadores de dados pessoais as informações necessárias para comunicação do incidente, recomendando, inclusive, que as obrigações referentes à comunicação de incidentes entre controladores e operadores sejam estabelecidas em contrato, de modo a tornar o procedimento mais ágil e minimizar os riscos aos titulares de dados pessoais.

Qual o procedimento para comunicação à ANPD de um incidente de segurança com dados pessoais?

Incidentes de segurança com dados pessoais que possam causar risco ou dano relevante aos titulares devem ser comunicados à ANPD por meio do preenchimento de formulário específico. A atualização das orientações da ANPD veio acompanhada de novo formulário de comunicação de incidente, que deverá ser utilizado para as comunicações feitas a partir de 1º de janeiro de 2023, substituindo o formulário anteriormente utilizado.

Em comparação com o formulário anterior, esta nova versão exige maiores detalhes acerca do incidente, de seus impactos, das medidas de segurança adotadas e da comunicação aos titulares de dados afetados pelo ocorrido.

A comunicação é feita à ANPD por meio do protocolo do formulário preenchido no sistema SUPER.BR (Sistema Único de Processo Eletrônico em Rede), sistema de processo eletrônico que substitui o SEI (Sistema Eletrônico de Informações).

Qual o prazo para a comunicação do incidente?

Em suas novas orientações, a ANPD ratificou o prazo anteriormente recomendado para a comunicação, de dois dias úteis da ciência do incidente. A ANPD indica, ainda, que atrasos na comunicação deverão ser devidamente justificados e que a demora injustificada na comunicação de incidentes pode sujeitar os agentes de tratamento de dados às sanções administrativas previstas na LGPD.

Este posicionamento é criticável, diante das dificuldades de, durante a gestão da crise decorrente de um incidente de segurança da informação, obter as informações mínimas necessárias para realizar a comunicação do ocorrido em prazo bastante exíguo.

Além disso, embora a comunicação inicial do incidente possa ser apenas preliminar, as novas orientações da ANPD exigem que a comunicação completa seja realizada o mais rapidamente possível, no prazo máximo de 30 dias corridos contados da comunicação preliminar.

Qual a interpretação da ANPD sobre o dever de comunicação ao titular de dados, previsto pela LGPD?

De forma diversa das orientações anteriores, as novas orientações da ANPD destacam a importância da comunicação aos titulares de dados pessoais afetados pelo incidente para atendimento da obrigação de comunicação prevista na LGPD, indicando que a comunicação do incidente à ANPD não poderá ser considerada completa caso ainda não tenha havido a comunicação aos titulares.

Adicionalmente, a ANPD lista as informações que devem constar da comunicação aos titulares, indicando, ainda, que esta deve ser feita de forma individual e diretamente aos titulares afetados, por qualquer meio. Caso não seja possível identificar os titulares afetados, pode ser necessária a comunicação a todos os titulares cujos dados se encontrem na base de dados violada. Excepcionalmente, pode ser feita a comunicação indireta, por meio de publicação em meios de comunicação.

Clique aqui para acessar as orientações completas da ANPD.

O time de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse está à disposição para auxiliar seus clientes com relação a incidentes de segurança da informação e outros temas relacionados à Lei Geral de Proteção de Dados.