ANPD publica Regulamento de Comunicação de Incidente de Segurança
A Resolução nº15 da ANPD, publicada em 26 de abril de 2024, com efeitos imediatos e extensíveis aos processos já em curso, detalha os procedimentos para a Comunicação de Incidente de Segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da LGPD.
O art. 48 da LGPD prevê que o controlador deverá comunicar a Autoridade Nacional de Proteção de Dados sempre que constatar a ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Esse conceito, que não havia sido delimitado pela LGPD, foi agora detalhado na Resolução nº 15. Abaixo, destacamos alguns dos pontos relevantes que foram esclarecidos pela ANPD.
Quando Comunicar um Incidente de Segurança?
O art. 5º da Resolução nº 15 considera que há risco ou dano relevante quando forem preenchidos, cumulativamente, dois requisitos:
1 – Os interesses ou direitos fundamentais de titulares puderem ser afetados, isto é, o incidente tem potencial de acarretar a impossibilidade de exercício de direitos ou utilização de serviços, bem como causar danos, como no caso de fraudes financeiras, roubo de identidade, discriminação, violação à integridade física, ao direito à imagem e à reputação; e
2 – O incidente envolver:
- Dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico);
- Dados de crianças, de adolescentes ou de idosos;
- Dados financeiros;
- Dados de autenticação de sistemas (utilizados para acessar um sistema ou para confirmar a identificação de um usuário, como contas de login, tokens e senhas);
- Dados protegidos por sigilo legal, judicial ou profissional;
- Dados em larga escala (número significativo de titulares, considerando, também, o volume de dados, a duração do incidente, frequência e extensão geográfica de localização dos titulares).
Comunicação à ANPD
A comunicação do incidente à ANPD deve conter as informações listadas no art. 6, § 2º, da Resolução nº 15. Ao encaminhar a comunicação, o controlador deverá observar os seguintes requisitos:
1 – Prazo: 3 (três) dias úteis, a contar da data em que o controlador tomou conhecimento do incidente. O prazo pode ser de até 6 (seis) dias úteis se o controlador for um agente de tratamento de pequeno porte.
2 – Responsável: a comunicação deve ser feita pelo Encarregado ou pelo representante, que deverá anexar documentação comprovando o cargo e os poderes de representação junto à ANPD.
3 – Forma: a comunicação deve ser efetuada por meio de formulário eletrônico.
4 – Sigilo: o controlador deverá solicitar que informações protegidas sejam recebidas com sigilo, fundamentando o motivo.
5 – O controlador poderá complementar a comunicação no prazo de 20 (vinte) dias a contar da data da comunicação inicial.
Comunicação aos titulares de dados
Além da ANPD, o art. 48 da LGPD obriga o controlador a comunicar os titulares afetados. Nesse caso, o controlador deverá compartilhar as informações detalhadas no art. 9º da Resolução nº 15, observando os seguintes requisitos:
1 – Forma: a comunicação deve usar linguagem simples e ser enviada de forma individualizada (por telefone, e-mail, mensagem etc.). Se a comunicação individual não for possível, o controlador deverá comunicar a ocorrência do incidente em seu site, mídias sociais e canais de atendimento, por exemplo.
2 – Prazo: 3 (três) dias úteis, a contar da data em que o controlador tomou conhecimento do incidente. O prazo pode ser de até 6 (seis) dias úteis se o controlador for um agente de tratamento de pequeno porte.
3 – O controlador deverá comprovar a comunicação aos titulares no processo de comunicação perante a ANPD em até 3 (três) dias úteis (isto é, em até 6 dias úteis após tomar conhecimento do incidente). O prazo será contado em dobro para agentes de tratamento de pequeno porte.
Registro do incidente
A Resolução obriga o controlador a manter o registro do incidente de segurança (inclusive dos casos que não são comunicados à ANPD e aos titulares) pelo prazo mínimo de 5 (cinco) anos. Esse registro deve indicar, por exemplo, a data de conhecimento do incidente, informações sobre os dados e titulares envolvidos e o motivo de o incidente não ter sido comunicado à ANPD e aos titulares, por exemplo.
O procedimento de Comunicação de Incidente de Segurança
O procedimento de Comunicação de Incidente de Segurança inicia-se com a comunicação do controlador à ANPD. Após avaliar o incidente reportado, a ANPD poderá determinar (i.) a ampla divulgação do incidente e (ii.) a adoção de medidas para reverter os mitigar os seus efeitos.
Caso o controlador descumpra as determinações da ANPD, esta poderá iniciar um processo administrativo sancionador.
Além dos processos de comunicação iniciados pelo próprio controlador, a ANPD poderá instaurar um procedimento para apurar incidentes de segurança que não tenham sido comunicados pelos controladores.
Extinção do Processo de Comunicação de Incidente de Segurança
Por fim, o art. 23 da Resolução nº 15 elenca as hipóteses nas quais o procedimento de Comunicação de Incidente de Segurança será declarado extinto, o que inclui, dentre outras, as situações em que a ANPD considere (i.) que o incidente não possui potencial para acarretar risco ou dano relevante aos titulares; (ii.) que tenham sido tomadas todas as medidas adicionais para mitigação ou reversão dos efeitos gerados; e (iii.) que tenha sido realizada a comunicação aos titulares e adotadas as providências pertinentes pelo controlador, em conformidade com a LGPD, as disposições do Regulamento e as determinações da própria ANPD.
Por isso, a assessoria jurídica especializada em casos de Incidente de Segurança é uma peça fundamental para evitar sanções e exposições reputacionais do controlador de dados.
Para mais informações, consulte nosso time de Proteção de Dados e Cibersegurança.