Seguindo o desenvolvimento de suas atividades regulatórias, a Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade”) divulgou novidades recentes acerca da regulamentação da comunicação de incidentes de segurança envolvendo dados pessoais.
Além da nova página para envio de denúncias e petições de titulares, destacada e analisada em informativo anterior, a Autoridade abriu consulta pública sobre a minuta de Resolução dispondo acerca das normas relativas à comunicação dos referidos incidentes de segurança, assim como programou a realização de uma audiência pública sobre o mesmo tema, a ser realizada no dia 23 de maio de 2023.
No que toca à audiência pública, cabe salientar que ela será aberta ao público, com transmissão ao vivo no canal da ANPD no Youtube, tendo sido permitida a manifestação de interessados que se inscreveram previamente para este fim. Já no que diz respeito à consulta pública, a Autoridade aceitará o envio de contribuições até o dia 31 de maio de 2023.
O texto da Resolução está disponível no site da Autoridade. Dentre os pontos de maior relevância, pode ser destacada a inserção de previsões mais claras a respeito dos casos em que a comunicação será necessária, mediante o atendimento de um dos critérios dispostos na mesma regulamentação.
Outro aspecto fundamental tratado na Resolução diz respeito ao prazo para envio da comunicação do incidente de segurança envolvendo dados pessoais à ANPD e aos titulares de dados pessoais envolvidos, sobre o qual existia larga discussão, tendo em vista o fato de que a LGPD não trouxe previsão expressa nesse sentido.
Neste particular, a Resolução estabelece um prazo de três dias úteis a partir de quando o incidente se tornou conhecido pelo controlador para a comunicação tanto à ANPD quanto aos titulares, em paralelo ao que vem sendo praticado em outros ordenamentos jurídicos. Adicionalmente, o controlador, caso não disponha de todas as informações necessárias nesse momento, poderá enviar, no prazo de vinte dias úteis a partir do conhecimento da infração, uma comunicação complementar.
Cabe ressaltar que a Resolução dispôs também sobre as informações obrigatórias nas comunicações ao titular e à Autoridade, prevendo um rol mais extenso para esse último. Em contrapartida, estabeleceu que a linguagem na comunicação ao titular deverá ser clara e simples, ocorrendo de forma individualizada, se possível.
Por fim, a Resolução pretende criar a obrigação de manutenção de registro de incidentes de segurança ocorridos envolvendo o controlador, por prazo mínimo de cinco anos, além de prever detalhes acerca do procedimento administrativo para apuração e investigação dos incidentes comunicados à Autoridade.
Nossa equipe está à disposição para maiores esclarecimentos adicionais, bem como para assessorar com os procedimentos para cumprimento das obrigações regulatórias da LGPD perante a ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br