ANPD aprova regras de Comunicação de Incidente de Segurança
O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou, no final de abril, o Regulamento de Comunicação de Incidente de Segurança (RCIS), visando, dentre outros objetivos, mitigar ou reverter prejuízos gerados por incidentes e assegurar a responsabilização e a prestação de contas pelos agentes de tratamento.
O RCIS prevê que o controlador deve comunicar a ANPD e os titulares de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou danos relevantes. A obrigatoriedade está intrinsecamente relacionada ao eventual prejuízo a interesses e direitos fundamentais dos titulares, notadamente em casos envolvendo:
- dados pessoais sensíveis;
- dados de crianças, de adolescentes ou de idosos;
- dados financeiros;
- dados de autenticação em sistemas;
- dados protegidos por sigilo legal, judicial ou profissional; ou
- dados em larga escala.
Uma novidade importante é que o regulamento estabelece o prazo de três dias úteis para que o controlador informe o incidente de segurança para a ANPD e para os titulares, devendo o prazo ser contado a partir do conhecimento pelo controlador de que o incidente afetou dados pessoais.
O regulamento também reforça a importância do ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento, já que dispõe que a ANPD poderá, a qualquer tempo, solicitar informações adicionais, incluindo o Relatório de Impacto à Proteção de Dados (RIPD) e o relatório de tratamento do próprio incidente.
O ROPA documenta as operações realizadas, como os dados são coletados e armazenados, os terceiros envolvidos no tratamento, como e para qual propósito os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, dentre outros pontos. Além de facilitar futuras revisões e mitigação de riscos, o ROPA auxilia na prestação de contas. O RIPD é necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos ou quando o fundamento para essa atividade for o legitimo interesse, sendo detalhadas nesse documento as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas.
A comunicação para ANPD seguirá ocorrendo por meio de formulário eletrônico e deverá conter uma série de informações obrigatórias, enquanto a comunicação aos titulares deverá ser individualizada e em linguagem simples, contendo as seguintes informações:
- a descrição da natureza e da categoria de dados pessoais afetados;
- as medidas técnicas e de segurança utilizadas para a proteção dos dados;
- os riscos relacionados ao incidente com identificação dos possíveis impactos;
- os motivos da demora, no caso de a comunicação não ter sido feita no prazo;
- as medidas que foram/serão adotadas para reverter/ mitigar os efeitos do incidente;
- a data do conhecimento do incidente de segurança; e
- o contato para obtenção de informações e os dados de contato do encarregado.
A resolução esclarece, também, que o controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contados a partir da data da ocorrência.
A aprovação e publicação do novo regulamento fortalece os direitos dos titulares, por ser um catalisador dos princípios gerais de proteção estabelecidos na LGPD, em especial o princípio da transparência, haja vista a adoção de boas práticas de governança e fortalecimento da cultura de proteção de dados pessoais no Brasil.
Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.