No dia 23/12/2022, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou o novo formulário de Comunicação de Incidentes de Segurança (CIS) com orientações e recomendações atualizadas sobre o tema.
Em relação à comunicação de incidentes, a Lei Geral de Proteção de Dados (LGPD) estabelece no art. 48 que é dever do controlador de dados comunicar incidentes de segurança que possam gerar riscos ou danos relevantes aos titulares: ou seja, é dever das organizações que controlam dados pessoais a realização da comunicação do incidente à ANPD e aos titulares de dados afetados.
O incidente de segurança pode ser considerado como qualquer evento inesperado que comprometa a integridade, confidencialidade ou a disponibilidade dos dados pessoais, como acesso não autorizado a informações, perda, alteração, vazamento ou, ainda, qualquer forma inadequada ou ilícita de se tratar dados pessoais que possa ocasionar risco ou dano relevante aos direitos do titular.
A ANPD traz na nova orientação, além de métricas para a mensuração da avaliação de risco em um incidente, alguns exemplos práticos de incidentes que devem ser comunicados: invasão de rede de computador de instituição financeira, perda de documentos com dados pessoais protegidos por sigilo profissional, entre outros.
A comunicação perante a ANPD deve ser feita pelo preenchimento do novo formulário de comunicação de incidentes e protocolada eletronicamente no Sistema Único de Processos Eletrônico em Rede (SUPER.BR). Para fins de evitar atrasos inesperados nas comunicações, recomenda-se que todo controlador de dados tenha o cadastro ativo nesse sistema.
Aos titulares afetados, a comunicação deve ser realizada de forma individual e por qualquer meio (e-mail, SMS, mensagens de texto por aplicativo, cartas, etc). Em situações excepcionais e justificadas, a comunicação pode ser realizada de forma indireta, como por TV, rádio, anúncios de internet, divulgações em redes sociais, etc., devendo o meio ser capaz de alcançar o maior número possível de titulares afetados.
A ANPD recomenda ainda que a comunicação seja feita em até dois dias úteis da ciência do fato. A comunicação voluntária é considerada pela ANPD como demonstração de transparência, cooperação e boa-fé do controlador, de modo que o atraso injustificado na realização pode gerar sanções administrativas, como advertência, multa, divulgação pública do incidente, ou até bloqueio e/ou eliminação da base de dados do controlador.
Caso o controlador não tenha todas as informações sobre o incidente, a comunicação à ANPD poderá, excepcionalmente, ser feita em duas etapas:
- preliminar, em até dois dias úteis da ciência,
- complementar em até 30 dias corridos contados da comunicação preliminar.
Diante da urgência e rapidez que o controlador deve agir nesses casos, se recomenda que a organização adote uma estrutura de governança contendo um plano de gestão e tratamento de incidentes que deve prever, inclusive, diretrizes de comunicação à ANPD e aos titulares afetados.