ANPD abre consulta pública sobre norma de comunicação de incidente de segurança com dados pessoais

O tratamento de dados pessoais pode gerar riscos, de modo que a Lei Geral de Proteção de Dados Pessoais – LGPD impõe que os agentes de tratamento devem adotar medidas eficazes para proteger os dados pessoais dos titulares. No entanto, mesmo adotando tais medidas, as empresas estão suscetíveis a sofrer um incidente de segurança.

Desse modo, na ocorrência de um incidente de segurança com dados pessoais, verificando que tal incidente possa acarretar risco ou dano relevante aos titulares, a lei estabelece que deve haver, por parte do controlador, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados.

Não há prazo estabelecido na legislação sobre quando o incidente deve ser comunicado, mas apenas que seja comunicado em “prazo razoável”, a ser definido pela ANPD. Assim, recentemente a ANPD recomendou que a comunicação de incidente seja realizada em até 2 (dois) dias úteis da ciência do fato.

Outrossim, a lei estabelece que essa comunicação deve conter no mínimo:

• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Ocorre que, além das disposições mínimas que a comunicação do incidente deve conter, restam dúvidas não esclarecidas pela lei, como o que seria considerado um risco de dano relevante e até mesmo sobre a definição de um prazo concreto para comunicação do incidente. Visando esclarecer essas questões, a ANPD abriu consulta pública para regular de maneira mais detalhada sobre a comunicação de incidentes de segurança.

Nessa linha, a minuta da resolução considera que um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:

• dados sensíveis;
• dados de crianças, de adolescentes ou de idosos;
• dados financeiros;
• dados de autenticação em sistemas; ou
• dados em larga escala.

Outro ponto abordado pela minuta da resolução é o prazo de comunicação de incidente de segurança, que deverá ser realizado em 3 (três) dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança.

Por fim, a minuta da resolução estabelece que o controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares.

A Consulta Pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais pode ser encontrada no link abaixo:

https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/Minuta_Regulamento_CIS._CD._semmarcas2.pdf