ANPD aprova regras de Comunicação de Incidente de Segurança

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou, no final de abril, o Regulamento de Comunicação de Incidente de Segurança (RCIS), visando, dentre outros objetivos, mitigar ou reverter prejuízos gerados por incidentes e assegurar a responsabilização e a prestação de contas pelos agentes de tratamento.

O RCIS prevê que o controlador deve comunicar a ANPD e os titulares de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou danos relevantes. A obrigatoriedade está intrinsecamente relacionada ao eventual prejuízo a interesses e direitos fundamentais dos titulares, notadamente em casos envolvendo:

• dados pessoais sensíveis;
• dados de crianças, de adolescentes ou de idosos;
• dados financeiros;
• dados de autenticação em sistemas;
• dados protegidos por sigilo legal, judicial ou profissional; ou
• dados em larga escala.

Uma novidade importante é que o regulamento estabelece o prazo de três dias úteis para que o controlador informe o incidente de segurança para a ANPD e para os titulares, devendo o prazo ser contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.

O regulamento também reforça a importância do ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento, já que dispõe que a ANPD poderá, a qualquer tempo, solicitar informações adicionais, incluindo o Relatório de Impacto à Proteção de Dados (RIPD) e o relatório de tratamento do próprio incidente.

O ROPA documenta as operações realizadas, como os dados são coletados e armazenados, os terceiros envolvidos no tratamento, como e para qual propósito os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, dentre outros pontos. Além de facilitar futuras revisões e mitigação de riscos, o ROPA auxilia na prestação de contas. O RIPD é necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos ou quando o fundamento para essa atividade for o legitimo interesse, sendo detalhadas  nesse documento as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas.

A comunicação para ANPD seguirá ocorrendo por meio de formulário eletrônico e deverá conter uma série de informações obrigatórias, enquanto a comunicação aos titulares deverá ser individualizada e em linguagem simples, contendo as seguintes informações:

• a descrição da natureza e da categoria de dados pessoais afetados;
• as medidas técnicas e de segurança utilizadas para a proteção dos dados;
• os riscos relacionados ao incidente com identificação dos possíveis impactos;
• os motivos da demora, no caso de a comunicação não ter sido feita no prazo;
• as medidas que foram/serão adotadas para reverter/ mitigar os efeitos do incidente;
• a data do conhecimento do incidente de segurança; e
• o contato para obtenção de informações e os dados de contato do encarregado.

A resolução esclarece, também, que o controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contados a partir da data da ocorrência.

A aprovação e publicação do novo regulamento fortalece os direitos dos titulares, por ser um catalisador dos princípios gerais de proteção estabelecidos na LGPD, em especial o princípio da transparência, haja vista a adoção de boas práticas de governança e fortalecimento da cultura de proteção de dados pessoais no Brasil.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.