ANPD abre consulta pública sobre norma de comunicação de incidente de segurança com dados pessoais
O tratamento de dados pessoais pode gerar riscos, de modo que a Lei Geral de Proteção de Dados Pessoais – LGPD impõe que os agentes de tratamento devem adotar medidas eficazes para proteger os dados pessoais dos titulares. No entanto, mesmo adotando tais medidas, as empresas estão suscetíveis a sofrer um incidente de segurança.
Desse modo, na ocorrência de um incidente de segurança com dados pessoais, verificando que tal incidente possa acarretar risco ou dano relevante aos titulares, a lei estabelece que deve haver, por parte do controlador, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados.
Não há prazo estabelecido na legislação sobre quando o incidente deve ser comunicado, mas apenas que seja comunicado em “prazo razoável”, a ser definido pela ANPD. Assim, recentemente a ANPD recomendou que a comunicação de incidente seja realizada em até 2 (dois) dias úteis da ciência do fato.
Outrossim, a lei estabelece que essa comunicação deve conter no mínimo:
- a descrição da natureza dos dados pessoais afetados;
- as informações sobre os titulares envolvidos;
- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- os riscos relacionados ao incidente;
- os motivos da demora, no caso de a comunicação não ter sido imediata; e
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ocorre que, além das disposições mínimas que a comunicação do incidente deve conter, restam dúvidas não esclarecidas pela lei, como o que seria considerado um risco de dano relevante e até mesmo sobre a definição de um prazo concreto para comunicação do incidente. Visando esclarecer essas questões, a ANPD abriu consulta pública para regular de maneira mais detalhada sobre a comunicação de incidentes de segurança.
Nessa linha, a minuta da resolução considera que um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:
- dados sensíveis;
- dados de crianças, de adolescentes ou de idosos;
- dados financeiros;
- dados de autenticação em sistemas; ou
- dados em larga escala.
Outro ponto abordado pela minuta da resolução é o prazo de comunicação de incidente de segurança, que deverá ser realizado em 3 (três) dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança.
Por fim, a minuta da resolução estabelece que o controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares.
A Consulta Pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais pode ser encontrada no link abaixo:
