Hoy ha sido publicada la Resolución CD/ANPD n. 15, de 24 de abril de 2024 ("Reglamento") por la Autoridad Nacional de Protección de Datos brasileña ("ANPD" o "Autoridad"), con normas sobre la comunicación de incidentes de seguridad con datos personales en el ámbito de la Autoridad. El Reglamento es importante porque proporciona detalles adicionales sobre varios aspectos aplicables al tema de la comunicación de incidentes de seguridad de datos, que aún no habían recibido atención por parte de la ANPD.
En este sentido, el Reglamento estableció que un incidente de seguridad de datos debe ser comunicado cuando pueda afectar significativamente los intereses y derechos fundamentales de los titulares de datos y incluir una de las siguientes categorías de datos: (i) datos sensibles; (ii) datos de menores o ancianos; (iii) datos financieros; (iv) datos de autenticación en sistemas; (v) datos protegidos por secreto legal, profesional o judicial; y (vi) datos a gran escala.
Además, el Reglamento dispuso que las comunicaciones a los titulares y a la Autoridad deben realizarse dentro de 3 días laborables a partir del conocimiento de que el incidente afecta datos personales de los titulares, y estableció un plazo de 20 días laborables para la presentación de información adicional, caso necesario. El Reglamento también enumeró las informaciones que deben ser incluidas en la comunicación del incidente tanto para el titular como para la Autoridad, ampliando la lista que ya existía en la LGPD.
Específicamente con respecto a la comunicación a los titulares, la norma dispuso que esta notificación debe ser individualizada, si es posible, a través de medios como correo, email, teléfono o mensaje electrónico. En casos en que la notificación individual a todos los titulares no sea posible, el responsable deberá mantener un aviso público, por un período mínimo de 90 días, a través de medios como su sitio web, aplicaciones, redes sociales y canales de atención al cliente.
Otro aspecto relevante previsto en el Reglamento fue la obligación de mantener registros de incidentes de seguridad de datos, incluso los que no se notificaron a la ANPD, por un período mínimo de 5 años, que contienen información como se establece en el texto del Reglamento.
El Reglamento también determinó que la Autoridad podrá solicitar medidas inmediatas que deban tomarse por parte del responsable, incluso durante el procedimiento de comunicación del incidente. Si dichas medidas no sean cumplidas por el responsable, la ANPD podrá imponer multas diarias por incumplimiento.
Finalmente, el Reglamento anticipó que la Autoridad podrá, después de la investigación del procedimiento de comunicación del incidente, solicitar al responsable que tome providencias, que no se considerarán sanciones aplicadas, sino medidas preventivas, como la implementación de medidas para revertir o mitigar los efectos generados, así como la amplia divulgación del incidente a través de medios como medios impresos, radio y transmisiones por internet.
Nuestro equipo está a disposición para cualquier aclaración adicional, así como para ayudar con los procedimientos de cumplimiento de las obligaciones reglamentarias de la LGPD ante la ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br