No dia 26 de abril a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD nº 15/2024, que aprovou o Regulamento para a Comunicação de Incidente de Segurança. O Regulamento tem por objetivo estabelecer os procedimentos para se efetuar a comunicação de incidentes que possam acarretar riscos ou danos relevantes aos titulares de dados.
É importante destacar alguns apontamentos quanto à resolução:
1. Prazo de Comunicação a ANPD ou aos Titulares
Anteriormente a ANPD recomendava o prazo de comunicação do incidente em até 2 (dois) dias úteis da ciência do fato. De agora em diante, segundo a Resolução, a Comunicação se dará em até 03 (três) dias úteis da ciência do incidente afetou dados pessoais.
Apesar de conceder um maior prazo, todos conhecemos a dificuldade em se cumprir com tal prazo, especialmente pela complexidade e variedade de informações necessárias quando do conhecimento de um incidente que envolva dados pessoais e que devem constar em Relatório de Tratamento de Incidente.
2. Informações Complementares
Importante observar que o prazo para informações complementares foi de 30 dias corridos para 20 dias úteis, a contar da comunicação preliminar.
3. Categoria de Dados Pessoais
Interessante observar as categorias de dados pessoais trazidas pela Resolução como exemplificativa: dados de autenticação em sistemas (credenciais de acesso), dados financeiros (transações), dados pessoais (gênero das categoriais e espécies: simples ou sensíveis), dado protegido por sigilo legal, judicial ou profissional.
4. Clareza na Análise de Risco de um Incidente
A ANPD trouxe de forma clara àquilo que deve ser considerado como um incidente com dados pessoais que deve ser comunicado:
Sempre que afetar, cumulativamente:
· Direitos e liberdades fundamentais, tais como direito à liberdade, discriminação, violação à integridade física, ao direito à imagem, dentre outros.
· Dados pessoais sensíveis, dados de vulneráveis como: crianças, de adolescentes ou de idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional ou dados em larga escala.
5. Quem pode comunicar?
Aqui não temos grandes novidades e somente o Encarregado de Dados Pessoais, com vínculo contratual, empregatício ou funcional, ou Representante Legal constituído, com poderes de representação junto à ANPD, poderão fazer a comunicação. Tais documentos comprobatórios deverão acompanhar a comunicação do incidente.
6. Do Registro de Incidente
O Registro de Incidentes, inclusive daqueles não comunicados, deverão ser mantidos por 05 (cinco) anos pelo Controlador.
Para mais informações, consulte nossos especialistas em Privacidade e Proteção de Dados Pessoais.
