Regulamento sobre Comunicação de Incidentes de Segurança

Em 26/4/24, foi publicada a esperada Resolução CD/ANPD nº 15/24, por meio da qual a Autoridade Nacional de Proteção de Dados (ANPD) aprova regulamento (“Regulamento”) sobre a comunicação, por parte do Controlador de dados pessoais, à ANPD e aos titulares, da ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante ao respectivo titular de dados pessoais, também conhecida como Comunicação de Incidente de Segurança (CIS).

O tema havia sido objeto de consulta pública prévia à sociedade, com a qual contribuímos, como noticiado anteriormente em nosso Blog.

A CIS pelo Controlador – agente de tratamento de dados pessoais a quem competem as decisões referentes ao tratamento de dados pessoais, seja pessoa física ou jurídica – é obrigatória por força do artigo 48 da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – “LGPD”), quando puder acarretar risco ou dano relevante aos titulares de dados pessoais. 

Uma das disposições mais relevantes do Regulamento (artigo 6º) é a que estabelece a que CIS seja feita em 3 (três) dias úteis, contados do conhecimento do incidente de segurança, podendo ser complementadas as informações, no prazo 20 (vinte) dias úteis, a contar da data da comunicação (a orientação anterior da ANPD era de que a CIS fosse feita em prazo razoável, não superior a dois dias úteis a partir da ciência do fato).

Tais prazos serão contados em dobro para os agentes de pequeno porte, nos termos do disposto no regulamento de aplicação da LGPD aos agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/22).

A CIS deverá ser realizada por meio de formulário eletrônico próprio disponibilizado pela ANPD.

O Controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, por no mínimo 5 (cinco) anos a contar da data do registro (há exceção para esse prazo, caso o Controlador precise manter tal registro por mais tempo por alguma obrigação adicional).  

Nas situações em que a comunicação realizada pelo Controlador for insuficiente para alcançar parcela significativa dos titulares afetados pelo incidente, a ANPD poderá determinar ampla divulgação do incidente em meios de comunicação, a ser custeada pelo Controlador, para a salvaguarda dos direitos dos titulares (conforme previsão do artigo 48, § 2º, I, da LGPD). 

Em caso de descumprimento de disposições do Regulamento, a ANPD poderá instaurar processo administrativo sancionador, com a consequente aplicação das penalidades cabíveis. 

A íntegra do Regulamento pode ser acessada em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024 

A área de privacidade e proteção de dados do TAGD Advogados está à disposição para esclarecer eventuais dúvidas.

Colaborou com a elaboração deste texto Mariana Macedo.

OUTROS
artigos