ANPD: Incidentes de segurança terão de ser comunicados em até três dias

A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta terça 2/5, uma consulta pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. Trata-se da exigência prevista na Lei Geral de Proteção de Dados (Lei 13.709/18) pela qual o controlador é obrigado a informar a ANPD e o titular de dados em caso de incidente que possa causar risco ou dano.

Nesse sentido, a ANPD está enquadrando esses casos quando o potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:1) dados sensíveis; 2) dados de crianças, de adolescentes ou de idosos; 3) dados financeiros; 4) dados de autenticação em sistemas; ou 5) dados em larga escala.

O registro do incidente deve conter, no mínimo, data de conhecimento, descrição geral, natureza e categoria dos dados afetados, número de titulares afetados, avaliação de risco sobre os possíveis danos aos titulares, medidas de mitigação e correção dos efeitos, além de informações sobre a comunicação.

A norma prevê serem considerados incidentes que têm potencial de afetar significativamente interesses e direitos fundamentais dos titulares aqueles que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. A comunicação deve ser feita por formulário eletrônico, que será disponibilizado pela ANPD.

Além disso, a proposta da resolução indica que serão considerados incidentes “em larga escala” quando eles “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”.

A comunicação deve ser comunicada à ANPD e aos titulares em três dias úteis contados do conhecimento do incidente de segurança, sempre que ele possa acarretar risco ou dano relevante aos titulares afetados. A comunicação para a ANPD deve incluir 13 informações:

I – a descrição da natureza e da categoria de dados pessoais afetados;

II – o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III – as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;

IV – os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V – os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII – a data e a hora do conhecimento do incidente de segurança;

VIII – os dados do encarregado, quando aplicável, ou do comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;

IX – os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;

X – as informações sobre o operador, quando aplicável;

XI – a declaração de que foi realizada a comunicação aos titulares, nos termos do art. 10 deste Regulamento;

XII – a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

XIII – o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.

Na comunicação ao titular, as informações devem fazer uso de linguagem simples e de fácil entendimento e, se possível, ocorrer de forma direta e individualizada. E devem trazer as seguintes informações:

I – a descrição da natureza e da categoria de dados pessoais afetados;

II – os riscos ou impactos ao titular;

III – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

IV – a data do conhecimento do incidente de segurança; e

V – o contato para obtenção de informações e dados do encarregado, quando aplicável.

A consulta da ANPD vai receber contribuições até 31/5, por meio da plataforma Participa Mais Brasil. Haverá uma audiência pública, transmitida pelo YouTube, em data ainda a ser definida.

 

  • Fonte: Convergência Digital
  • Imagem: Freepik
  • 02 de maio de 2023