04/07/2024

A regulamentação da Comunicação de Incidentes pela Autoridade Nacional de Proteção de Dados (“ANPD”) e o que pode ser feito na Governança de Dados das organizações.

Algumas empresas ainda não se atentaram para a publicação da Resolução do Conselho Diretor da ANPD, n. 15, em 24/04/2024, a qual aprova o Regulamento de Comunicação de Incidentes relacionados à violação da Lei Geral de Proteção de Dados (“LGPD”).

Diante da publicação da norma, é importante revisitar a Governança de Dados, em especial os documentos internos diretamente relacionados, como o “Plano de Respostas a Incidentes” e a “Política de Gestão de Crises”. Isso porque, necessário verificar se as condutas internas adotadas estão em consonância com a nova norma.

O Regulamento traz os seus objetivos no artigo 2o, destacando, em primeiro lugar, a proteção dos direitos dos titulares, além de (a) assegurar a adoção das medidas necessárias para mitigar ou reverter os efeitos dos prejuízos gerados e a efetividade dos princípios da responsabilização e da prestação de contas; (b) promover a adoção de regras de boas práticas, de governança, de medidas de prevenção e segurança adequadas e (c) garantir que os agentes de tratamento atuem de forma transparente e estabeleçam uma relação de confiança com o titular, dentre outros.

Os objetivos demonstram quais são as prioridades em relação ao tema para a ANPD e podem ser usados como orientações no momento de tomada de decisões sobre a governança interna.

Os principais pontos da norma são destacados abaixo:

  • necessidade de comunicação à ANPD e aos titulares de dados na ocorrência de incidentes que possam gerar risco ou dano relevante aos titulares prevista no artigo 48 da Lei Geral de Proteção de Dados (LGPD): incidentes que geram risco ou dano relevante são aqueles que afetam significativamente interesses e direitos fundamentais dos titulares e, além disso, estejam cumulados com um dos seguintes critérios: envolvam dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou dados em larga escala.
  • “incidentes que possam afetar significativamente interesses e direitos fundamentais”: serão considerados aqueles cuja atividade de tratamento possa impedir o exercício de direitos ou a utilização de serviços; que possam ocasionar danos materiais ou morais aos titulares, tais como, discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade – dentre outras situações. A norma esclarece que o incidente com “dados em larga escala” é aquele que abrange número significativo de titulares, sendo considerado: o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.
  • prazo para a comunicação dos incidentes: é de três dias úteis contados do conhecimento do controlador sobre a sua ocorrência e no parágrafo 2o do art. 6o são elencadas as informações que devem estar presentes na comunicação do incidente.
  • quem deve fazer essa comunicação? O controlador o fará por meio do seu encarregado, com documento comprobatório de vínculo contratual, empregatício ou funcional, ou o representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD.
  • deve comunicar o titular de dados? no mesmo prazo deve ser feita a comunicação, que deve cumprir o princípio da transparência, fazendo uso linguagem simples e de fácil entendimento, e, se possível identificar os titulares, deve ser feita de forma direta e individualizada.
  • registro da ocorrência de incidente: sempre deverá ser realizado, seja este comunicado ou não à ANPD e aos titulares, e o seu prazo de manutenção, normalmente, é de 5 anos.
  • e se não houver a comunicação e a ANPD tomar conhecimento do ocorrido? caso a ANPD tome conhecimento de incidente que possa acarretar risco ou dano relevante aos titulares, não comunicados pelo controlador, poderá instaurar o “Procedimento de Apuração de Incidente de Segurança” previsto na Seção II da norma.
  • quais providências a ANPD pode tomar, após avaliar a gravidade do incidente?a ANPD poderá determinar ao controlador a adoção de providências para a ampla divulgação do incidente em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

Revisitar os procedimentos e documentos internos da Governança de Dados da organização, agora com um olhar atento à nova regulamentação e à sua interpretação, é um importante passo para evitar problemas futuros e minimizar danos, caso ocorra um incidente.

 

Veja outras Matérias