No dia 26 de abril de 2024, a ANPD divulgou uma nova norma que trata sobre a comunicação em caso de incidente de segurança da informação envolvendo dados pessoais. Com a Resolução CD/ANPD n° 15/2024, a Autarquia define termos importantes para auxiliar na tomada de decisão relacionada a comunicação sobre incidentes de segurança da informação, bem como apresenta os prazos e as formas do procedimento adequado, conforme esclarecemos adiante.
Sempre que houver qualquer evento adverso confirmado, relacionado à violação da confidencialidade, integridade, disponibilidade e da autenticidade de dados pessoais que acarrete risco ou dano relevante aos titulares dos dados.
Quando puder afetar significativamente interesses e direitos fundamentais dos titulares e envolver um dos seguintes critérios:
a. dados pessoais sensíveis(1);
b. dados de crianças, de adolescentes ou de idosos;
c. dados financeiros(2);
d. dados de autenticação em sistemas(3);
e. dados protegidos por sigilo legal, judicial ou profissional; ou
f. dados em larga escala(4).
(1) Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
(2) Dado pessoal relacionado às transações financeiras do titular, inclusive para contratação de serviços e aquisição de produtos.
(3) Qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identificação de um usuário, como contas de login, tokens e senhas.
(4) A ser definido pela ANPD.
O incidente será caracterizado, por exemplo, em situações que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
A comunicação de incidente de segurança deverá ocorrer por meio de formulário eletrônico disponibilizado pela ANPD e ser realizada pelo controlador, por meio do seu encarregado (DPO), bem como estar acompanhada do documento comprobatório de vínculo do DPO, ou por meio de representante constituído, acompanhada de procuração com poderes de representação junto à ANPD.
Como regra geral, a comunicação deve ser realizada em até 3 dias úteis, a contar da data em que foi descoberto o incidente pelo Controlador. Se o controlador for considerado agente de pequeno porte, o prazo será contado em dobro.
Para a ANPD
I. descrição da natureza e da categoria de dados pessoais afetados;
II. número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
III. medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
IV. riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
V. motivos da demora, no caso da comunicação não ter sido realizada no prazo devido;
VI. medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
VII. data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
VIII. dados do encarregado ou de quem represente o controlador;
IX. identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
X. identificação do operador, quando aplicável;
XI. descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
XII. total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
Para os titulares
I. descrição da natureza e da categoria de dados pessoais afetados;
II. medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
III. riscos relacionados ao incidente com a identificação dos possíveis impactos aos titulares;
IV. motivos da demora, no caso de a comunicação não ter sido feita no prazo devido;
V. medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
VI. data do conhecimento do incidente de segurança; e
VII. contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.
A comunicação com os titulares deve ser realizada em linguagem clara e de fácil compreensão, de forma direta e individualizada.
Caso não seja possível individualizar o contato, o comunicado deve ser realizado em ambientes de amplo acesso, como site da empresa, app, redes sociais e canais de atendimento, por pelo menos 3 meses.
As informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.
Pontos de atenção:
Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.
A ANPD pode solicitar informações adicionais ao controlador, referentes ao incidente de segurança, inclusive o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente, estabelecendo prazo para o envio das informações.
O controlador deverá juntar ao processo de comunicação de incidente uma declaração de que foi realizada a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis, contados do término do prazo de que trata o caput deste artigo.
O controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção.
A ANPD poderá fixar multa diária para assegurar o cumprimento de suas determinações.
Caso queira conversar para entender melhor sobre a nova norma ou qualquer outro tema relacionado à proteção de dados pessoais, fale conosco.