Alerta
ANPD aprova Regulamento de Comunicação de Incidente de Segurança
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, hoje, 26 de abril, a Resolução CD/ANPD Nº. 15/2024, que aprova o Regulamento de Comunicação de Incidente de Segurança (“Regulamento”).
O Regulamento visa definir os parâmetros procedimentais para comunicação de incidentes de segurança, assegurar a responsabilização e a prestação de contas e promover a adoção de boas práticas de governança, prevenção e segurança.
Assim, o Regulamento determina que os controladores de dados devem comunicar à ANPD e aos titulares incidentes de segurança que possam causar risco ou dano relevante, consoante à Lei Geral de Proteção de Dados (LGPD).
Destacamos a seguir algumas das principais disposições do Regulamento:
- Risco ou dano relevante: deve ser considerado capaz de causar risco ou dano relevante o incidente que puder afetar significativamente interesses e direitos fundamentais dos titulares e envolver, pelo menos, um dos seguintes critérios: (i) dados pessoais sensíveis; (ii) dados de crianças, de adolescentes ou de idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas; (v) dados protegidos por sigilo legal, judicial ou profissional; ou (vi) dados em larga escala.
- Definição de “afetar significativamente”: deve ser considerado capaz de “afetar significativamente” os interesses e direitos fundamentais dos titulares o incidente cuja atividade de tratamento relacionada puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
- Definição de larga escala: o Regulamento não prevê definições quantitativas, mas indica que o incidente que afeta um número significativo de titulares, levando em conta o volume, duração, frequência e extensão geográfica dos dados envolvidos é considerado de larga escala.
- Prazo de comunicação à ANPD e aos titulares de dados: o Regulamento altera o prazo de dois dias úteis até então sugerido pela ANPD em suas orientações sobre o tema, determinando que as comunicações de incidente de segurança à ANPD e aos titulares deverão ser realizadas pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais. Comunicação complementar pode ser realizada no prazo de 20 dias úteis contados da comunicação original.
- Prazo de manutenção de registro do incidente: segundo a nova norma, ainda, os registros de incidentes devem ser mantidos pelo controlador de dados por no mínimo cinco anos, mesmo em casos de incidentes que não sejam comunicados à ANPD e aos titulares de dados.
Apesar do Regulamento trazer esclarecimentos procedimentais importantes, ainda existem lacunas na avaliação de critérios da ANPD para necessidade de comunicação de incidentes. Também por isso, é essencial estar atento aos critérios de sanção da autoridade para melhor compreender como equilibrar os esforços de identificação eficiente, mitigação de riscos e comunicação quando da ocorrência de um incidente.
Nossa equipe especializada em Tecnologia, Proteção de Dados e Propriedade Intelectual acompanha de perto as movimentações da ANPD e assessora clientes de diversos setores na prevenção e na efetiva resposta a incidentes de segurança da informação. Para obter esclarecimentos sobre o tema, ou outros que sejam de seu interesse, entre em contato com nossos profissionais.
Paulo Lilla
paulo.lilla@lefosse.com
+55 11 3024 6490
Carla Segala
carla.segala@lefosse.com
+55 11 3024 6256
Mariana Sangoi
mariana.sangoi@lefosse.com
+55 11 3025 3398
Beatriz Becker
beatriz.becker@lefosse.com
+55 11 3024 6100
Julia Ferrari
julia.ferrari@lefosse.com
+55 11 3263 1579
Tem alguma dúvida? Entre em contato com a nossa equipe marketing@lefosse.com