Cury & Moure Simão Advogados
Por Fernanda Moure Simão C. Ribeiro
Na última sexta-feira (26), a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD n° 15/2024 que aprova o Regulamento de Comunicação de Incidente de Segurança.
O Regulamento tem como objetivo estabelecer os procedimentos para Comunicação de Segurança que possa acarretar risco ou dano relevante aos titulares dos dados pessoais, devendo ser observado (i) a proteção aos direitos dos titulares; (ii) adoção de medidas necessárias para mitigar ou reverter os efeitos dos prejuízos gerados; (iii) responsabilização e prestação de contas pelos agentes de tratamento; (iv) adoção de regras de boas práticas, de governança, de medidas de prevenção e segurança adequadas; (v) promoção da cultura de proteção de dados pessoais; (vi) atuação dos agentes de forma transparente; e (vii) fornecimento de subsídios para as atividades regulatória, fiscalizatória e sancionatória da ANPD.
A principal determinação trazida pelo Regulamento é a obrigatoriedade de comunicação à ANPD e ao titular de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados pessoais. Ainda, o Regulamento define estes incidentes como aqueles que envolvam qualquer dos seguintes dados: (i) dados pessoais sensíveis; (ii) dados de crianças, adolescentes ou de idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas; (v) dados protegidos por sigilo legal, judicial ou profissional; e (vi) dados em larga escala.
Considerando a definição retro citada, o Regulamento também especifica o que são os incidentes em larga escala, como sendo aqueles que abrangerem número significativo de titulares, devendo ser considerado o volume dos dados envolvidos, sua duração, frequência e extensão geográfica de localização dos titulares.
Ocorrendo um incidente, o controlador dos dados pessoais deverá comunicar à ANPD em até 3 dias úteis, contados do conhecimento pelo controlador do incidente que afetou os dados pessoais. O Regulamento ainda determina quais informações devem estar presentes na comunicação do incidente.
Além da comunicação à ANPD, o Regulamento determina que os titulares dos dados também devem ser cientificados no mesmo prazo, devendo a comunicação ser feita por telefone, e-mail, mensagem eletrônica ou carta, em linguagem simples e de fácil entendimento, além de ser feita de forma direta e individualizada, caso seja possível a identificação dos dados afetados. Não sendo possível a identificação (parcial ou integralmente) dos titulares afetados, a comunicação deverá ser feita através do website da empresa, aplicativos, mídias sociais e através de canais de atendimento ao titular.
No mais, o Regulamento indica que o controlador deverá manter por 5 anos o registro do incidente de segurança, inclusive aqueles não comunicados à ANPD e aos titulares.
Por fim, há a previsão da possibilidade de instauração de processo administrativo sancionador pela ANPD, caso o controlador não adote as medidas para reverter ou mitigar os efeitos do incidente no prazo e condições determinadas pela Autoridade.
Referido Regulamento presenta mais um passo para a efetivação atuação da ANPD, representando momento crucial para que as empresas revisem e aperfeiçoem seus procedimentos de tratamento de dados pessoais, bem como políticas aplicáveis.