Hoje foi publicada a Resolução CD/ANPD nº 15, de 24 de abril de 2024 (“Regulamento”) pela Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade”), regulamentando as normas sobre a comunicação de incidentes de segurança envolvendo dados pessoais no âmbito da Autoridade. O Regulamento é relevante por trazer maiores detalhes acerca de diversos aspectos aplicáveis ao tema da comunicação de incidentes de segurança, que ainda careciam de atenção pela ANPD.
Nesse sentido, o Regulamento estabeleceu que um incidente de segurança deverá ser comunicado quando puder afetar significativamente interesses e direitos fundamentais dos titulares e envolver uma das seguintes categorias de dados: (i) dados sensíveis; (ii) dados de menores ou idosos; (iii) dados financeiros; (iv) dados de autenticação em sistemas; (v) dados protegidos por sigilo legal, profissional ou judicial; e (vi) dados em larga escala.
Ademais, o Regulamento previu que as comunicações aos titulares e à Autoridade deverão ser realizadas no prazo de 3 dias úteis, contados a partir do conhecimento de que o incidente envolveu dados pessoais dos titulares, bem como dispôs prazo de 20 dias úteis para o envio de informações complementares, se necessário. O Regulamento também elencou as informações que deverão estar incluídas na comunicação do incidente tanto para o titular quanto para a Autoridade, estendendo o rol que já existia na LGPD.
Especificamente quanto à comunicação aos titulares, a norma estabeleceu que essa notificação deverá ser individualizada, se possível, por meios como o envio de carta, e-mail, telefone ou mensagem eletrônica. Para os casos em que a notificação individual para todos os titulares não for possível, o controlador deverá manter um comunicado público, pelo prazo mínimo de 90 dias, em meios como seu site, aplicativos, redes sociais e canais de atendimento.
Outro aspecto relevante previsto no Regulamento foi a obrigação de manutenção de registros de incidentes de segurança, mesmo que não tenham sido notificados à ANPD, pelo prazo mínimo de 5 anos, contendo informações dispostas em seu texto.
O Regulamento também determinou que a Autoridade poderá solicitar medidas imediatas a serem tomadas pelo controlador, ainda durante o procedimento de comunicação do incidente. Caso tais medidas não sejam atendidas, a Autoridade poderá aplicar multa diária, em virtude do descumprimento.
Por fim, o Regulamento previu que a ANPD poderá, após a apuração do procedimento de comunicação do incidente, requerer que o controlador tome providências, que não serão consideradas sanções aplicadas, mas sim medidas preventivas, como a implementação de medidas para reverter ou mitigar os efeitos gerados, bem como a ampla divulgação do incidente, em meios como mídia impressa, rádio e transmissões pela internet.
Nossa equipe está à disposição para maiores esclarecimentos adicionais, bem como para assessorar com os procedimentos para cumprimento das obrigações regulatórias da LGPD perante a ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br