Stafin & Carvalho

A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou a Resolução CD/ANPD n. 15/24 em 26 de abril, estabelecendo o Regulamento de Comunicação de Incidente de Segurança (RCIS). Este regulamento complementa o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD), que impõe aos controladores de dados a obrigação de comunicar à ANPD e aos titulares dos dados qualquer incidente que represente risco ou dano relevante.

 

Principais Atualizações do Regulamento

 

O RCIS traz várias inovações significativas:

 

Ampla Divulgação de Incidentes: Dependendo da gravidade do incidente, o controlador de dados pode ser obrigado a divulgar amplamente o ocorrido. Isso pode incluir comunicação via mídia tradicional e internet, e até mesmo publicações em mídias sociais do controlador.

 

Definições Específicas: O regulamento define termos cruciais como dados de autenticação em sistemas, dados financeiros e o próprio incidente de segurança. Também estabelece o Relatório de Tratamento de Incidente como um novo documento que deve ser fornecido pelo controlador.

 

Critérios de Risco ou Dano Relevante: A ANPD detalha o que constitui risco ou dano relevante. Esse critério é essencial para determinar a obrigação de comunicação. Incidentes que podem afetar significativamente os interesses e direitos fundamentais dos titulares, especialmente quando envolvem dados pessoais sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas, ou dados protegidos por sigilo legal, judicial ou profissional, devem ser comunicados.

 

Incidentes com Dados em Larga Escala: Definidos como aqueles que abrangem um grande número de titulares, levando em consideração o volume de dados, a duração, a frequência e a extensão geográfica dos titulares afetados.

 

Procedimentos e Prazos

 

A ANPD estabeleceu que as comunicações de incidente devem ser formalizadas em um processo administrativo próprio, chamado Processo de Comunicação de Incidente de Segurança. Este processo permitirá à ANPD fiscalizar o caso e as medidas adotadas pela empresa, com possíveis sanções em caso de descumprimento.

 

O regulamento estipula prazos rigorosos para comunicação:

 

Comunicação Inicial: O controlador deve notificar a ANPD e os titulares em até três dias úteis após a identificação do incidente. Este prazo começa a contar a partir do momento em que o controlador toma ciência de que o incidente comprometeu dados pessoais.

 

Comunicações Complementares: Caso necessário, há um prazo adicional de 20 dias úteis para fornecer informações complementares. Para agentes de pequeno porte, esses prazos são dobrados.

 

Conteúdo das Comunicações

 

As comunicações devem ser detalhadas e específicas.

 

Para a ANPD, a notificação deve incluir:

 

  • Descrição da natureza e da categoria dos dados pessoais afetados.
  • Número de titulares afetados, incluindo dados de crianças, adolescentes e idosos.
  • Medidas técnicas e de segurança implementadas antes e depois do incidente.
  • Avaliação dos riscos envolvidos e justificativas para eventuais atrasos na comunicação.
  • Identificação dos operadores, quando aplicável.

 

Para os titulares, a comunicação deve abordar pelo menos sete pontos:

 

  • Descrição da natureza e da categoria dos dados pessoais afetados.
  • Medidas técnicas e de segurança adotadas para proteger os dados.
  • Riscos relacionados ao incidente e possíveis impactos aos titulares.
  • Justificativa para eventuais atrasos na comunicação.
  • Medidas tomadas ou previstas para reverter ou mitigar os efeitos do incidente.
  • Data em que o incidente foi conhecido.
  • Informações de contato para esclarecimentos adicionais.

 

Comunicação Eficiente

 

Para garantir uma comunicação eficiente, as empresas devem usar uma linguagem clara e acessível, aplicando técnicas como Legal Design e Visual Law. Se possível, a comunicação deve ser direta e individualizada, utilizando meios habituais de contato, como telefone, e-mail e mensagens eletrônicas.

 

 

Importância da Preparação

 

As empresas devem estar preparadas para responder de forma diligente e rápida a incidentes de segurança, cumprindo todas as exigências do novo regulamento. Isso inclui a elaboração de um Relatório de Impacto à Proteção de Dados, que pode ser exigido pela ANPD.

 

A abordagem estratégica para a gestão de crises e proteção de dados é essencial. As empresas precisam demonstrar preparo antes, durante e depois de um incidente, assegurando que todas as etapas de identificação, resposta, remediação e comunicação sejam devidamente documentadas e executadas.

contato@stafin.adv.br

Tags:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *