ANPD aprova Regulamento de Comunicação de Incidente de Segurança

A Resolução nº 15, de 24 de abril de 2024, da Autoridade Nacional de Proteção de Dados (ANPD), aprovou o Regulamento de Comunicação de Incidente de Segurança. O Regulamento estabelece procedimentos para a comunicação de incidentes de segurança, por parte de controladores de dados pessoais, conforme exigido no art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

O que é considerado um incidente?

• Incidentes são qualquer evento adverso confirmado que venha a impactar a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais.

Gatilhos para a comunicação

• Apenas devem ser comunicados à ANPD e aos titulares os incidentes que possam acarretar risco ou dano relevante a esses últimos.
• Haveria, segundo a ANPD, “risco ou dano relevante aos titulares” quando o incidente puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver pelo menos um dos seguintes critérios:
  • Dados pessoais sensíveis;
  • Dados de crianças, de adolescentes ou de idosos;
  • Dados financeiros (relacionados a transações financeiras, inclusive para contratação de serviços e aquisição de produtos);
  • Dados de autenticação em sistemas (credenciais de acesso, como login, senha ou tokens);
  • Dados protegidos por sigilo legal, judicial ou profissional; ou
  • Dados em larga escala (quando abranger número de titulares, volume de dados, duração, frequência e extensão geográfica significativas – ANPD colocou em consulta pública estudo preliminar com metodologia para identificar se o tratamento é ou não de larga escala).
• A ANPD exemplifica como impactos significativos a interesses e direitos fundamentais incidentes que, entre outras hipóteses, podem causar empecilhos no exercício de direitos, no uso de serviço ou infligir danos morais e materiais aos titulares, como fraudes financeiras, roubo de identidade e violação à imagem ou reputação dos indivíduos.

Prazo de comunicação

• Exceto se for agente de tratamento de pequeno porte, na forma da Resolução nº 2 da ANPD, a comunicação deve ser feita à ANPD e aos titulares afetados em até três dias úteis, contados da data em que o controlador confirmar que o incidente afetou dados pessoais. Se for feita por procurador, o mandato deve ser apresentado também nesse prazo.
• As informações à ANPD podem ser complementadas em até 20 dias úteis contados da data do protocolo da primeira comunicação.

O que deve constar nas comunicações à ANPD e aos titulares?

• Deverá constar na comunicação à ANPD, entre outros pontos:
  • Se há dados sensíveis e as categorias de dados afetados;
  • Número de titulares afetados, distinguindo, quando possível, o número de menores de idade e idosos afetados. Além disso, deve se indicar o número de titulares cujos dados são tratados nas atividades afetadas pelo incidente;
  • Medidas técnicas que foram e serão adotadas para reverter ou mitigar o incidente;
  • Os riscos relacionados, indicando os impactos para os titulares;
  • A descrição do incidente, incluindo a causa principal, caso seja possível identificá-la.
• A comunicação aos titulares também deverá indicar os dados afetados, os riscos oriundos do incidente e as medidas para reverter ou mitigar o incidente, devendo, porém, focar em informar o contato para obtenção de mais informações, inclusive do(a) encarregado(a) da companhia. É ideal que se inclua, ainda, recomendações para os próprios titulares revertem ou mitigarem os efeitos dos incidentes.
  • A comunicação aos titulares deverá, se possível, ser individualizada e direta – ainda que apenas parte dos titulares afetados –, podendo ser por meio de telefone, e-mail, mensagem eletrônica ou até mesmo carta, desde que seja possível documentar o recebimento.
  • Se não for possível individualizar os indivíduos afetados, a comunicação pode se dar pelo site, aplicativos, mídias sociais e demais canais de atendimento do controlador. Caso a ANPD entenda que essa comunicação não foi suficiente pra alcançar os titulares afetados, poderá determinar ampla divulgação do incidente, às custas do controlador, admitindo mídia impressa, radiofusão e internet para tal.
• O sigilo do processo de comunicação do incidente não é automático, devendo ser solicitado expressamente pelo controlador.

Documentações obrigatórias a partir do Regulamento

• Torna-se obrigatória a elaboração de relatório de tratamento de incidente, no qual deve ser descrito o incidente e as providências adotadas para reverter ou mitigar os seus efeitos. A ANPD pode solicitar esse documento a qualquer momento.
• É mandatório manter um registro de todos os incidentes de segurança, comunicados ou não à ANPD e/ou aos titulares, pelo prazo mínimo de cinco anos. Esse registro deve conter, entre outros pontos, datas dos incidentes, descrição geral em que os incidentes aconteceram, dados e titulares afetados, riscos oriundos, medidas tomadas e motivos de não comunicação se for o caso.

Poderes da ANPD durante o curso do processo administrativo

• Instaurado o processo administrativo com a comunicação do incidente, a ANPD poderá, a qualquer momento, realizar inspeções e requisitar diligências complementares ao agente de tratamento para elucidar suas decisões. Junto a isso poderá definir a adoção de medidas preventivas pelo controlador, impondo, ainda, multa diária para garantir o seu cumprimento.
  • As medidas de salvaguarda aqui não possuem caráter de sanção e pretendem tão somente impedir a formação ou seguimento de dano grave. Seu descumprimento, porém, é razão para instauração de processo administrativo sancionador, abrindo o leque para diversas sanções, como multa de 2% do faturamento do ente privado e até interrupção total de tratamento de dados internamente.
• O Regulamento permite à ANPD instaurar procedimento de apuração de incidentes de segurança de que tomar conhecimento, quando não comunicados pelo controlador. Nesse caso, ela poderá fazer requisições formais ao controlador investigado.
  • Da mesma forma, a não cooperação com a ANPD ou a constatação da existência de incidente de segurança indevidamente não comunicado poderão levar à instauração de processo administrativo sancionador.

Essa resolução tem caráter vinculante e deve ser cumprida de imediato, sendo inclusive aplicável aos processos de comunicação de incidente em curso.