Em 24 de abril, por meio da Resolução CD/ANPD nº 15/2024, a Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou o Regulamento de Comunicação de Incidente de Segurança (“Regulamento”), estabelecendo os procedimentos a serem adotados em caso de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais.
O Regulamento, cujas disposições aplicam-se aos processos de comunicação de incidentes de segurança já em curso, traz definições e esclarece pontos importantes que auxiliarão os controladores de dados pessoais na avaliação de incidentes, na decisão sobre a necessidade de comunicação à ANPD e aos titulares, conteúdo e forma das comunicações, registros do incidente (que devem ser mantidos inclusive nos casos em que não haja comunicação à ANPD e aos titulares), dentre outros aspectos relevantes.
Nos termos do Regulamento, incidentes de segurança que podem acarretar risco ou dano relevante aos titulares são aqueles que (a) possam afetar significativamente interesses e direitos fundamentais dos titulares e (b) cumulativamente, envolvam ao menos um dos seguintes critérios: (i) dados pessoais sensíveis; (ii) dados de crianças, de adolescentes ou de idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas; (v) dados protegidos por sigilo legal, judicial ou profissional; ou (vi) dados em larga escala.
Conforme o Regulamento, incidentes de segurança que podem afetar significativamente interesses e direitos fundamentais dos titulares serão caracterizados, dentre outras, por situações em que a atividade de tratamento possa impedir o exercício de direitos ou a utilização de um serviço, ou ocasionar danos materiais ou morais aos titulares (como, por exemplo, discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).
A comunicação do incidente à ANPD e aos titulares deve ser feita em até três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais (salvo em caso de prazo diverso estabelecido em legislação específica). A comunicação à ANPD poderá ser complementada com informações adicionais, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação inicial. Estes prazos serão contados em dobro para os agentes de tratamento de pequeno porte.
O Regulamento prevê, ainda, a possibilidade de a ANPD instaurar procedimento para apurar a ocorrência de incidente de segurança que não tenha sido comunicado pelo controlador.
A íntegra do Regulamento está disponível no site da ANPD (https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024).
Para mais informações, consulte os líderes do nosso time de Privacidade e Proteção de Dados, Adriano Chaves e Marcia Issler Mandelbaum.
Este boletim tem propósito meramente informativo e não deve ser considerado a fim de se obter aconselhamento jurídico sobre qualquer um dos temas aqui tratados.
CGM Advogados. Todos os direitos reservados.
