blog
ANPD Disciplina a Comunicação sobre Incidente de Segurança envolvendo Dados Pessoais
24 de maio de 2024 | PublicaçõesA Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou no dia 26/04/2024 a tão aguardada Resolução regulamentando a forma e o prazo da comunicação de incidentes de segurança com dados pessoais. Trata-se da Resolução n°15 que está disponível no site da ANPD.
Entende-se por incidente de segurança de dados pessoais o acesso não autorizado aos dados pessoais, ou seu uso não autorizado, bem como situações que comprometam o uso do dado pessoal, ou afetem sua integridade ou autenticidade.
Um dos principais pontos que causava controvérsia era o prazo em que o incidente devia ser comunicado a ANPD e aos titulares dos dados pessoais.
Em dezembro de 2022 a ANPD já havia publicado em seu site uma simples orientação sobre a comunicação dos incidentes. Naquela ocasião recomendou-se que os incidentes fossem comunicados à ANPD no prazo de 2 dias úteis.
Entretanto, esse prazo mudou com a Resolução n°15. De acordo com seu artigo 9º, o prazo para comunicação do incidente à ANPD e aos titulares de dados passou a ser de 3 dias úteis, contados da ciência do controlador, com possibilidade de complementação das informações no prazo de 20 dias úteis, contados da primeira comunicação realizada pelo controlador.
Há exceção para as empresas enquadradas como de pequeno porte, para quais o prazo de comunicação à ANPD é de 6 dias úteis.
Vale ressaltar que só é obrigatória a comunicação do incidente de segurança quando for constatado que este acarreta risco ou dano relevante ao titular dos dados, conforme dispõe o artigo 48 da LGPD – Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/18). Em relação a este item, a Resolução apresentou dois critérios cumulativos para avaliação do risco ou dano, a saber:
- Se o incidente de segurança afeta significativamente interesses e direitos fundamentais; e
- Se o incidente de segurança envolve pelo menos, um dos seguintes tipos de dados:
I – dados pessoais sensíveis;
II – dados de crianças, de adolescentes ou de idosos;
III – dados financeiros;
IV – dados de autenticação em sistemas (como por exemplo logins e senhas);
V – dados protegidos por sigilo legal, judicial ou profissional; ou
VI – dados em larga escala.
NA PRÁTICA, constatado que estão presentes os critérios acima, deverá ser feita a comunicação à ANPD do incidente. Incidentes de segurança que deveriam ter sido comunicados e não o foram, podem sujeitar o controlador de dados à imposição de multas e penalidades previstas na Resolução n° 15.
Na comunicação à ANPD o controlador deve informar, dentre outros, a data e hora do incidente, se souber, o tipo de dados envolvidos e sua volumetria, identificar os titulares de dados cujos dados foram impactados, descrever o incidente e quais medidas técnicas e organizacionais dispunha para impedi-lo e quais ações de mitigação está tomando.
O controlador deve também elaborar um documento denominado Registro do Incidente de Segurança. Referido documento deverá ser feito na ocorrência de qualquer Incidente de Segurança, inclusive naqueles não informados à ANPD por não caracterizarem dano, ou risco relevante. O controlador dos dados pessoais deverá guardar tal Registro pelo prazo de 5 anos.
O presente artigo não tem o caráter de opinião legal, ou aconselhamento. Cada caso deverá ser analisado, com base em suas peculiaridades.
BRENTANI RONCOLATTO ADVOGADOS