Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD n.º 15, que aprova o Regulamento de Comunicação de Incidente de Segurança (“Regulamento”) e estabelece procedimentos e regras específicas para os Controladores de dados pessoais.
O Regulamento entrou em vigor na data de sua publicação e passou a viger imediatamente, valendo, inclusive, para os procedimentos de incidentes de segurança em curso, respeitados os atos processuais já praticados e consolidados na forma da lei.
Um dos aspectos de especial importância previsto no Regulamento, é que nem todos os incidentes de segurança precisam ser comunicados, mas apenas aqueles que sejam capazes de acarretar risco ou dano relevante aos titulares e desde que envolvam, pelo menos, algum dos seguintes critérios: (i) dados pessoais sensíveis, (ii) dados de crianças, de adolescentes ou de idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas, (v) dados protegidos por sigilo legal, judicial ou profissional ou (vi) dados em larga escala.
Outra questão que merece fundamental destaque, é o fato de ter se tornado obrigatório que a comunicação do incidente seja direcionada à ANPD e ao titular, no prazo de até 3 (três) dias úteis contados da data de conhecimento do incidente, salvo quanto tratar-se de agentes de tratamento de pequeno porte, conforme definidos na Resolução n.º 2/2022 da ANPD, que gozarão de prazo em dobro para efetuar tal comunicação, que deverá estar acompanhada de declaração que comprove o enquadramento.
Ademais, evidencia-se que a comunicação do incidente ao titular deverá conter informações mínimas, quais sejam: (i) a descrição da natureza e da categoria de dados pessoais afetados; (ii) as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (iii) os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares; (iv) os motivos da demora, no caso de comunicação não ter sido feita no prazo mencionado no parágrafo anterior; (v) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente; (vi) a data do conhecimento do incidente de segurança e (vii) o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado de proteção de dados.
Além disso, a comunicação também precisa conter linguagem simples e de fácil entendimento, devendo ser repassada aos interessados pelos meios usualmente utilizados pelo controlador para contatar o titular, como, por exemplo, telefone, e-mail etc. Considerando esses aspectos, percebe-se que a ANPD possui uma clara preocupação, cada vez mais crescente, de garantir o repasse de informações claras aos titulares.
Por fim, percebe-se que a regulamentação em questão possui elevada importância, de modo que os agentes de tratamento e os seus encarregados de dados pessoais devem ter plena ciência do seu conteúdo.
Link para acesso integral à Resolução: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024
Elaborado por Benick Santana e Thiago Toscano.
E-mail: societario@mellopimentel.com.br
Comments