No dia 26/04, foi publicada a Resolução CD/ANPD 15 de 24/04/2024, que regulamenta o processo de comunicação de incidentes de segurança envolvendo dados pessoais.

O tema, que estava previsto na agenda regulatória da Autoridade Nacional de Proteção de Dados (ANDP), ficou disponível para consulta pública nos meses de maio e junho de 2023. No total foram recebidas 1538 contribuições de representantes de diversos setores da sociedade.

Veja os principais pontos da resolução no conteúdo a seguir. Você pode pular para a parte que mais lhe interessa ou ler o texto na íntegra:

• Critérios para a comunicação
• Prazo para comunicar um incidente de segurança
• Sigilo das comunicações:
• Comunicação aos titulares:
• Prazo para armazenamento do registro dos incidentes de segurança
• Processo de comunicação do incidente

Critérios para a comunicação:

Conforme consta o art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD) o controlador deve comunicar somente os incidentes que possam acarretar risco ou dano relevante aos titulares.

A resolução conceituou o termo “risco ou dano relevante” como situações capazes de afetar significativamente interesses e direitos fundamentais dos titulares, quando, cumulativamente, envolver alguns dos dados:

• dados pessoais sensíveis;
• dados de crianças, de adolescentes ou de idosos;
• dados financeiros;
• dados de autenticação em sistemas;
• dados protegidos por sigilo legal, judicial ou profissional;
• ou dados em larga escala.

Existem dois critérios para que exista o dever de comunicar um incidente de segurança: um relativo aos impactos causados aos titulares e outro aos tipos de dados.

Impacto causados aos titulares: a resolução indica para situações em que a atividade de tratamento possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como: discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Tipos de dados: diferente do primeiro critério, onde há certa margem interpretativa, em relação aos tipos de dados o rol é objetivo e de fácil identificação prática (à exceção de “larga escala”, cujo conceito é aberto e está em fase de definição pela ANPD).

Além disso, o texto cita a “atividade de tratamento” e não o incidente em si. Com isso a redação abre margem para que um incidente relativamente grave, envolvendo dados sensíveis, por exemplo, não seja comunicado pelo controlador, por entender que a atividade de tratamento subjacente era simples e não representada potencial de afetar significativamente interesses e direitos fundamentais dos titulares. Trata-se de questão que certamente demandará amadurecimento interpretativo.

Prazo para comunicar um incidente de segurança:

O prazo para comunicar o incidente aumentou de 2 para 3 dias a contar do conhecimento pelo controlador de que o incidente afetou dados pessoais.

Quando realizada pelo Encarregado pelo Tratamento de Dados, a comunicação deverá estar instruída com documento comprobatório de vínculo contratual, empregatício ou funcional. Em todo caso, o controlador poderá complementar as informações no prazo de 20 dias úteis.

Para os agentes de pequeno porte (definidos na Res. CD/ANPD nº 2/2022) esses prazos são contados em dobro.

Sigilo das comunicações:

O sigilo das comunicações de incidentes é algo que demanda solicitação fundamentada do controlador.

Este é um ponto de atenção, pois se a imposição de sigilo demanda requerimento, presume-se que tal pedido poderá ser negado pela ANPD, o que dará publicidade ao caso. Logo, é de extrema importância que pedido de tramitação sigilosa seja devidamente fundamentado.

Comunicação aos titulares:

O prazo de 3 dias também se aplica à comunicação dos titulares de dados.

Neste caso, a realização da comunicação demanda ainda mais critério e cautela, pois, diferentemente da ANPD onde o trâmite poderá ser sigiloso, a comunicação aos titulares certamente repercutirá no mercado e afetará de imediato na imagem da organização.

Sempre que possível o controlador deverá comunicar os titulares de forma individual. Se isto for inviável (pelo volume de dados afetados, por exemplo) a comunicação poderá ser ampla, por site, redes sociais, TV.

Caso a comunicação seja insuficiente para alcançar uma parcela significativa dos titulares afetados pelo incidente, a ANPD poderá determinar que a comunicação seja ampliada. Isto não se confunde com a sanção de publicização, prevista no art. 52, IV da LGPD.

Prazo para armazenamento do registro dos incidentes de segurança:

O regulamento especificou o prazo de 5 anos para o armazenamento do registro dos incidentes de segurança, inclusive daqueles não comunicados à ANPD e titulares. Isto destaca a importância da documentação de todo e qualquer incidente.

O regulamento menciona expressamente que a ANPD poderá a qualquer tempo realizar auditorias nos agentes de tratamento e solicitar informações complementares por meio do Registro de Operações (ROPA) e Relatório de Impacto à Proteção de Dados. 

Processo de comunicação do incidente:

A comunicação do incidente poderá se iniciar independente da comunicação pelo controlador, podendo ser de ofício em procedimento de apuração de incidente instaurado pela ANPD.

No curso do processo de comunicação, a ANPD poderá determinar ao controlador a adoção imediata para prevenir, mitigar ou reverter os efeitos do incidente. Isso revela a importância da adoção de um programa permanente de proteção de dados, algo que certamente facilitará a atuação do controlador no caso de incidente, além de representar uma atenuante na aplicação de sanções (conforme Res. CD/ANPD nº 4/2023). 

Além disso, a comunicação do incidente será recebida pela ANPD, exclusivamente, por meio de canal específico, conforme orientação publicada no site da ANPD. É de extrema importância que as organizações realizem a habilitação no portal de comunicações (Super.gov.br) independentemente da ocorrência de incidentes, visto que o processo de habilitação não é imediato.

A publicação da resolução, somada a outras já publicadas, aponta para a tendência de intensificação na fiscalização pela ANPD com aumento na aplicação de sanções. Isto reforça a importância de adoção de um programa consistente de adequação à LGPD, com destaque para a manutenção de um ROPA atualizado, procedimentos para tratamento de incidentes e nomeação de um encarregado habilitado.