Em 2/5/23, a Autoridade Nacional de Proteção de Dados (ANPD) submeteu à consulta pública, em seu sítio eletrônico, a minuta de resolução que regulamenta o tema da comunicação, por parte do Controlador de dados pessoais, à ANPD e aos titulares, sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante ao respectivo titular de dados pessoais, também conhecida como Comunicação de Incidente de Segurança (CIS).
De acordo com o artigo 48 da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – “LGPD”), a comunicação à ANPD e aos titulares de dados pessoais da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares é obrigatória. O parágrafo 1º do referido dispositivo legal prevê que essa comunicação seja feita “em prazo razoável, conforme definido pela autoridade nacional.”
Vale ainda lembrar que o Controlador é o agente de tratamento de dados pessoais a quem competem as decisões referentes ao tratamento de dados pessoais, seja pessoa física ou jurídica.
A recomendação atual da ANPD é que a comunicação em comento seja feita com a maior brevidade possível, em prazo não superior a 2 (dois) dias úteis da ciência do fato. Na minuta de resolução ora em consulta pública (artigo 6º), tal prazo foi aumentado para 3 (três) dias úteis, contados do conhecimento do incidente de segurança, podendo ser excepcionalmente complementadas as informações, no prazo 20 (vinte) dias úteis, a contar do momento em que o Controlador tomou conhecimento do incidente, prorrogável uma vez, por igual período, mediante solicitação fundamentada, que deverá ser avaliada pela ANPD.
Trata-se de um importante passo para dirimir uma das questões mais debatidas com as quais temos lidado em nossa prática jurídica quando da negociação de cláusulas contratuais de privacidade e proteção de dados pessoais, isto é, estabelecer em que prazo as partes contratantes deverão comunicar uma à outra (para a oportuna comunicação à ANPD e aos titulares) sobre a ocorrência de um incidente de segurança no âmbito de um determinado contrato (de prestação de serviços, por ex.), ou mesmo de uma situação que possa acarretar risco ou dano relevante aos titulares de dados pessoais.
Com efeito, a controvérsia – que, esperamos, seja espancada quando da aprovação e publicação da resolução em questão – gira em torno da contagem do prazo acima em dias úteis ou corridos; nós defendemos que tal contagem seja feita considerando-se dias úteis, e não horas (24 horas, por exemplo), até mesmo para estar em linha com as diretrizes da ANPD e com a própria contagem de prazos prevista no Código de Processo Civil (por analogia).
Estamos acompanhando de perto o assunto e enviaremos nossas contribuições à referida consulta pública. Os demais interessados poderão registrar as suas opiniões até o dia 31 de maio de 2023 nos campos de resposta indicados neste link, disponível na plataforma Participa Mais Brasil.
A área de privacidade e proteção de dados do TAGD Advogados está à disposição para esclarecer eventuais dúvidas.
Colaborou com a elaboração deste texto Mariana Macedo.
