A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, no final de abril, o Regulamento de Comunicação de Incidente de Segurança (Resolução nº 15), que tem como principal objetivo estabelecer o procedimento de comunicação de incidentes que deve ser seguido pelos controladores de dados pessoais.
Destacamos os seguintes pontos:
- O que é um incidente? Qualquer evento adverso confirmado que venha a impactar a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais.
- Quando deve ser comunicado? Devem ser comunicados somente os incidentes que acarretem risco relevante aos titulares. É considerado risco relevante quando, além de afetar interesses ou direitos fundamentais dos titulares, o incidente envolver também algum dos seguintes critérios: 1) dados pessoais sensíveis, 2) dados de crianças, adolescentes ou idosos, 3) dados financeiros, 4) dados de autenticação em sistemas, 5) dados protegidos por sigilo legal, profissional ou judicial, 6) dados em larga escala.
- Prazo de comunicação: Deve ser feita em até três dias úteis, contados a partir da data em que o controlador confirmar que o incidente afetou dados pessoais, exceto para agentes de tratamento de pequeno porte.
- O que deve ser informado: se há dados sensíveis; as categorias de dados afetados; o número de titulares afetados; as medidas técnicas adotadas pelo controlador em relação ao incidente; os riscos e impactos aos titulares; a descrição do incidente, incluindo a causa principal. Aos titulares, além dos dados afetados, riscos do incidente e as medidas adotadas, a comunicação deve ter como principal objetivo informar os dados do DPO e como obter mais informações.
- Documentações obrigatórias: Relatório de tratamento de incidente, descrevendo as providências adotadas para reverter ou mitigar os efeitos; e registro de todos os incidentes de segurança ocorridos, pelo prazo mínimo de 5 anos.
- Poderes da ANPD durante o curso do processo administrativo: realizar inspeções, solicitar diligências complementares ao controlador, definir a adoção de medidas preventivas, podendo impor multa diária para cumprimento.
O Campos Thomaz Advogados é especializado em direito e tecnologia. Temos uma equipe disponível para tirar quaisquer dúvidas e prestar assessoria jurídica com relação ao tema deste alerta.
*