Adquirir

Incidentes de Segurança Envolvendo Dados Pessoais: ANPD regulamenta a sua comunicação

 

A Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”) publicou hoje Resolução que estabelece “Regulamento de Comunicação de Incidentes de Segurança” (“Regulamento”). São definidos prazos, procedimentos, escopo e demais diretrizes para a comunicação de incidentes, trazendo maior clareza e segurança para as empresas sobre quando e como fazer esta comunicação. Lembrando que incidentes de segurança envolvendo dados pessoais podem caracterizar violação à Lei Geral de Proteção de Dados Pessoais (”LGPD”), podendo expor a empresa a sanções, inclusive multas pecuniárias, ou mesmo a um risco reputacional, já que a comunicação de incidente pode se transformar em um processo público.

O Regulamento foi precedido por orientações preliminares da ANPD, originalmente divulgadas em fevereiro de 2021 e atualizadas em dezembro de 2022; e consulta pública realizada em 2023, cujas contribuições e críticas da sociedade civil não foram incorporadas pela ANPD no texto final.

A seguir, apresentamos um resumo dos principais aspectos do Regulamento. Alguns pontos permanecem controversos, suas implicações práticas e regulatórias tornar-se-ão mais claras com o tempo.

Critérios para comunicação de Incidentes:

O Regulamento, define “Incidente de Segurança envolvendo Dados Pessoais” (“Incidente”): qualquer evento adverso confirmado que viole as propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais. Isso significa que os Incidentes não se limitam apenas às violações de confidencialidade, popularmente chamadas de “vazamento de dados“, mas também incluem situações de perda ou indisponibilidade de dados pessoais.

O controlador dos dados pessoais é quele que tem o ônus dos Incidentes nas costas. Controlador é aquele que toma as decisões relacionadas ao dados pessoais, e muita atenção: é comum a empresa terceirizar alguma atividade de tratamento – por exemplo a uma firma de contabilidade ou operador de plataforma – e neste caso é a própria empresa a controladora e não o terceirizado.

É necessário que o controlador comunique à ANPD e aos titulares de dados pessoais a ocorrência de um Incidente que possa acarretar risco ou dano relevante aos titulares. Um Incidente é considerado como tal se puder afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos critérios listados no artigo 5º do Regulamento, quais sejam:

  • dados pessoais sensíveis;
  • dados de crianças, de adolescente ou de idosos;
  • dados pessoais relacionados às transações financeiras do titular, incluindo contratação de serviços e aquisição de produto;
  • dados pessoais usados como credenciais para determinar o acesso a um sistema ou para confirmar a identificação de um usuário, tais como contas de login, tokens e senhas; e
  • dados em larga escala, isto é, aqueles que abrangem um número significativo de titulares, considerando também o volume de dados envolvidos, a duração, a frequência e a extensão geográfica de localização dos titulares.

Além disso, o artigo 5º do Regulamento especifica que um Incidente com potencial para afetar significativamente os interesses e direitos fundamentais dos titulares ocorre quando puder impedir o exercício de direitos ou a utilização de um serviço, ou ainda ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, direito à imagem, reputação, fraudes financeiras ou roubo de identidade.

Prazo para comunicação de Incidentes:

Os Incidentes devem ser comunicados (i) aos titulares de dados pessoais afetados e (ii) à ANPD dentro de três dias úteis, contados partir do momento em que o controlador toma conhecimento do Incidente. Este prazo, apesar de curto, representa uma extensão do anteriormente recomendado pela ANPD, que era de dois dias úteis.

Ainda, o Regulamento também prevê que após a notificação inicial do Incidente, o controlador tem um prazo adicional de 20 dias úteis para fornecer detalhes complementares sobre o ocorrido.

Atenção: estes prazos dobram para os agentes de tratamento de pequeno porte (conforme definido na Resolução CD/ANPD nº 2).

Entendemos que o prazo de três dias úteis se inicia com o reconhecimento pelo controlador de houve dados pessoais afetados pelo Incidente, independentemente da avaliação de que o Incidente possa gerar risco ou dano significativo ao titular.

A ANPD especifica que a empresa pode realizar uma comunicação de incidente preliminar ou definitiva.

Assim, visando sempre reduzir o risco para a empresa controladora, sugerimos que a empresa realize comunicação preliminar do Incidente à ANPD assim que tiver certeza de que há dados pessoais envolvidos e – dentro de 20 dias úteis – o controlador investigue se o Incidente realmente atende aos critérios do Regulamento para uma comunicação obrigatória e pesquise mais detalhes do Incidente, a fim de fazer a comunicação definitiva explicando a irrelevância do Incidente e que a comunicação preliminar foi efetuada preventivamente ou fornecendo as informações adicionalmente apuradas sobre o Incidente à ANPD, em novo formulário de comunicação. Isto prevenirá a instauração de possíveis processos administrativos sancionadores, já que a não comunicação de Incidente relevante é uma violação da LGPD.

Informações que devem ser fornecidas quando da comunicação de Incidentes:

Para a ANPD:

  • Descrição da natureza e categoria dos dados pessoais afetados.
  • Número de titulares afetados.
  • Listagem das medidas técnicas e de segurança aplicadas antes e após o Incidente para proteger os dados pessoais.
  • Informação acerca dos riscos relacionados ao Incidente, incluindo impactos aos titulares dos dados pessoais.
  • Explicação sobre as razões para qualquer atraso na notificação.
  • Descrição das ações tomadas ou planejadas para mitigar os efeitos do Incidente.
  • Contato do Encarregado/DPO do controlador.
  • Descrição detalhada do Incidente.
  • Identificação do Controlador e do Operador, incluindo uma declaração de que se trata de agentes de tratamento de pequeno porte.
  • Informação sobre a data da ocorrência do Incidente e quando ele foi conhecido pelo controlador.
  • Apresentação do total de titulares cujos dados são tratados nas atividades afetadas pelo Incidente.

 

Para os Titulares de Dados Pessoais:

  • Descrição da Natureza e Categoria dos Dados Pessoais Afetados.
  • Informação sobre os possíveis riscos ou impactos ao titular decorrentes do incidente.
  • Esclarecimento sobre as intervenções realizadas para corrigir ou mitigar os efeitos do incidente.
  • Data de Ciência do Incidente.
  • Contato do Encarregado/DPO da organização para mais informações.

Adicionalmente, o Regulamento traz a necessidade das notificações aos titulares de dados serem diretas e personalizadas, utilizando meios de contato previamente estabelecidos, como e-mail ou telefone. No entanto, em situações em que tal método direto se mostre inviável, é permitida a realização de anúncios por canais de maior alcance, incluindo o website da empresa ou suas plataformas de mídia social.

Obrigações de Registro de Incidentes de Segurança Conforme Determina o Regulamento

Conforme o Regulamento, o controlador é obrigado a manter um registro completo de todos os Incidentes, incluindo aqueles que não foram comunicados à ANPD ou aos titulares dos dados. Esse registro deve ser preservado por um prazo mínimo de cinco anos, a contar da data de seu registro e deve conter, no mínimo, as seguintes informações:

  1. Registro sobre quando o Incidente foi identificado pelo controlador.
  2. Detalhamento do contexto e as condições sob as quais o Incidente ocorreu.
  3. Especificação dos tipos de dados pessoais comprometidos.
  4. Indicação de quantos indivíduos foram impactados pelo Incidente.
  5. Análise dos riscos associados ao Incidente e os possíveis prejuízos aos titulares dos dados pessoais.
  6. Descrição das ações tomadas para corrigir ou minimizar os efeitos do Incidente, se aplicável.
  7. Especificação sobre a forma e o conteúdo da notificação feita à ANPD e aos titulares dos dados, se o Incidente foi comunicado.
  8. Justificativa sobre a ausência de notificação à ANPD e aos titulares, quando for o caso.
Outras Questões

Segundo o Regulamento, ao longo da gestão de um Incidente a ANPD pode exigir que o controlador adote medidas preventivas imediatas, incluindo a divulgação ampla do ocorrido nos meios de comunicação ou ações para remediar ou mitigar os seus efeitos.

Além disso, se o controlador falhar em adotar as medidas necessárias dentro dos prazos e condições estabelecidos pela ANPD, pode ser instaurado um processo administrativo sancionador que poderá acarretar, inclusive, em multas para os controladores.

A equipe de proteção de Dados Pessoais do Cascione Advogados está à disposição para maiores informações;

 

Karin Klempp Franco
kklempp@cascione.com.br

Ana Silva
acsilva@cascione.com.br