A Autoridade Nacional de Proteção de Dados (ANPD) acaba de estabelecer um marco significativo na proteção de dados no Brasil com a aprovação do Regulamento de Comunicação de Incidente de Segurança.
Publicado hoje no Diário Oficial da União, o documento detalha os procedimentos obrigatórios para que as organizações comuniquem à ANPD e aos titulares de dados sobre incidentes de segurança que possam acarretar risco ou dano relevante.
O regulamento visa garantir uma resposta eficaz e transparente em casos de violação de dados pessoais, alinhando-se com os princípios da Lei Geral de Proteção de Dados (LGPD).
Entre os pontos destacados, está a necessidade de as organizações comunicarem à ANPD e aos titulares incidentes que envolvam dados sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, entre outros critérios.
Uma das inovações mais significativas é o prazo de três dias úteis para que as empresas notifiquem a ANPD e os titulares sobre o incidente, contados a partir do momento em que tomam conhecimento da violação.
Além disso, o regulamento estabelece requisitos claros para o conteúdo da comunicação, que inclui a descrição do incidente, medidas adotadas para mitigar danos e informações de contato para esclarecimentos.
Outro destaque é a definição de responsabilidades específicas para as organizações, que devem designar um encarregado pelo tratamento de dados pessoais e fornecer documentação comprobatória no momento da comunicação do incidente.
A ANPD ressalta que a transparência e a responsabilidade no tratamento de dados são fundamentais para promover a confiança dos cidadãos e garantir a segurança de suas informações pessoais.
A divulgação ativa de informações estatísticas sobre incidentes de segurança no site da ANPD também será adotada como medida de transparência.
Com essa regulamentação abrangente, a ANPD reforça seu papel na fiscalização e aplicação da LGPD, oferecendo diretrizes claras para que as organizações possam agir rapidamente e de forma adequada em situações de violação de dados, protegendo assim os direitos dos cidadãos brasileiros.
Por se tratar de assunto altamente relevante na questão da privacidade de dados, colocamos abaixo um resumo sobre a resolução, e incentivamos todos a lerem a resolução na íntegra, para melhor entendimento de sua aplicabilidade.
Resumo Detalhado da Resolução CD/ANPD Nº 15, de 24 de abril de 2024
I. Introdução
A Resolução CD/ANPD Nº 15, de 24 de abril de 2024, aprovada pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), estabelece o Regulamento de Comunicação de Incidente de Segurança, com o objetivo de definir os procedimentos para comunicar incidentes que possam comprometer a segurança de dados pessoais, conforme previsto na Lei Geral de Proteção de Dados Pessoais (LGPD).
II. Disposições Preliminares
1. Objetivos do Regulamento:
Proteger os direitos dos titulares.
Assegurar medidas para mitigar ou reverter prejuízos.
Garantir a responsabilização dos agentes de tratamento.
Promover boas práticas e governança de segurança.
Estimular cultura de proteção de dados.
Fomentar transparência e confiança.
Fornecer subsídios para a atuação da ANPD.
III. Definições
O regulamento define termos importantes relacionados à comunicação de incidentes de segurança, como: incidente de segurança, medidas de segurança, dados pessoais afetados, entre outros.
IV. Comunicação de Incidente de Segurança
1. Critérios para Comunicação:
Define critérios para determinar quando um incidente deve ser comunicado à ANPD e ao titular dos dados.
2. Procedimento de Comunicação:
Prazo de comunicação de três dias úteis.
Informações a serem fornecidas no comunicado.
Forma de comunicação por meio de formulário eletrônico.
Responsabilidade do controlador em fazer a comunicação, acompanhada de documentos necessários.
V. Registro do Incidente de Segurança
Obrigatoriedade de registro do incidente pelo controlador, mesmo que não comunicado à ANPD e aos titulares.
Informações mínimas a serem registradas.
Prazo mínimo de guarda de cinco anos dos registros, salvo disposição em contrário.
VI. Processo de Comunicação de Incidente de Segurança
Iniciação do processo por iniciativa da ANPD ou mediante recebimento da comunicação.
Possibilidade de análise agregada dos processos.
Determinação de medidas preventivas pela ANPD.
Apuração de incidentes não comunicados.
VII. Disposições Finais
Aplicação retroativa do regulamento aos processos em curso.
Este resumo detalhado abrange os principais aspectos e procedimentos estabelecidos na Resolução CD/ANPD Nº 15, de 24 de abril de 2024, fornecendo uma visão abrangente das diretrizes para a comunicação e gestão de incidentes de segurança de dados pessoais, conforme estabelecido pela LGPD.
Fonte: ANPD
