Siguiendo el desenvolvimiento de sus actividades regulatorias, la Autoridad Nacional de Protección de Datos brasileña (“ANPD” o “Autoridad”) ha divulgado novedades acerca de la reglamentación de la comunicación de los incidentes de seguridad envolviendo datos personales.
Aparte de la nueva página web para presentación de quejas y peticiones de los titulares de datos personales, destacada y analizada en informativo anterior, la Autoridad abrió una consulta pública acerca del texto de la Resolución en discusión sobre las reglas de la comunicación de los mencionados incidentes de seguridad, así como programó una audiencia pública sobre lo mismo tema, que va a ocurrir en 23 de mayo de 2023.
Esa audiencia pública va a ser transmitida en vivo por el canal de YouTube de la ANPD para el público, con manifestaciones de partes interesadas que se inscribieron para tal fin. Ya acerca de la consulta pública, la Autoridad va a aceptar el envío de manifestaciones hasta el día 31 de mayo de 2023.
El texto de la Resolución propuesta está disponible en la página de la Autoridad. Entre los puntos de mayor relevancia, puede ser destacada la inclusión de disposiciones más claras acerca de los casos en que la comunicación va a ser necesaria, cuando atendido uno de los criterios establecidos en la misma Resolución.
Otro aspecto fundamental tratado por la Resolución es el plazo para envío de la comunicación del incidente de seguridad envolviendo datos personales para la ANPD y los titulares de datos personales, un tema em que hay profundas discusiones en el Brasil, en virtud de la LGPD no tener una disposición específica en este sentido.
Así, la Resolución establece un plazo de tres días hábiles a partir de cuando el controlador tomó conocimiento del incidente para el envío de la notificación para ambos, similar a lo que es previsto en otros ordenamientos jurídicos. Además, el controlador, caso no tenga todas las informaciones necesarias en este momento, podrá enviar una comunicación complementar, en el plazo de veinte días hábiles a partir del conocimiento del incidente.
La Resolución también dispone acerca de las informaciones obligatorias en las comunicaciones para el titular y la Autoridad, con una lista más extensa para ese último. Todavía, la Resolución establece que la comunicación al titular de datos personales debe tener lenguaje claro y simples y, se posible, debe ser individualizada.
Por fin, la Resolución pretende crear la obligación de manutención de un registro de los incidentes de seguridad envolviendo el controlador, por un plazo mínimo de cinco años, aparte de disponer pormenores acerca del procedimiento administrativo para investigar los incidentes de seguridad comunicados a la Autoridad.
Nuestro equipo está a disposición para cualquier aclaración adicional, así como para ayudar con los procedimientos de cumplimiento de las obligaciones reglamentarias de la LGPD ante la ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br