No dia 26.04.2024, através da Resolução CD/ANPD n°. 15, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a aprovação do Regulamento de Comunicação de Incidente de Segurança (RCIS).
O Regulamento, criado para dar mais transparência aos mecanismos previstos na Lei Geral de Proteção de Dados, entrou em vigor já na data da sua publicação. Seu principal objetivo é estabelecer os procedimentos essenciais para a comunicação de incidentes de segurança que envolvam dados pessoais de pessoas físicas.
Além disso, o Regulamento visa garantir a prestação de contas, responsabilização e prevenção de riscos à segurança dos dados.
Assim, é importante destacar que o texto regulamentado traz alguns conceitos importantes, critérios e prazos de comunicação à ANPD e aos titulares, bem como orientações para avaliação de risco ou dano, em caso de incidentes de segurança envolvendo dados pessoais de pessoas físicas.
Quando de uma ocorrência envolvendo dados pessoais de pessoas físicas, o controlador deverá avaliar se há impacto direto e significativo aos interesses e direitos dos respectivos titulares dos dados, incluindo a análise se se tratam de dados sensíveis, se pertencentes a crianças, adolescentes ou idosos, e se estão relacionados a informações financeiras relevantes, autenticação em sistemas, ou se são sigilosos ou processados em larga escala.
Para o melhor entendimento do Regulamento, cabe destacar as principais disposições:
- Conceito de afetar significativamente: qualquer tratamento de dados capaz de prejudicar os interesses e direitos fundamentais dos titulares. Isso inclui a capacidade de impedir o uso de um serviço, restringir o exercício de direitos ou causar danos morais ou materiais aos titulares. Por exemplo, violação à integridade física, discriminação e dentre outros.
- Do prazo de comunicação à ANPD e aos titulares de dados: o regulamento dispõe que as notificações de incidentes de segurança à ANPD e aos titulares devem ser feitas pelo controlador em até três dias úteis após tomar conhecimento de que o incidente afetou dados pessoais. Antes desta modificação, o prazo recomendável era de dois dias úteis.
- Manutenção de registro do incidente: Conforme a nova disposição, o controlador deve manter os registros de incidentes pelo prazo mínimo de cinco anos.
O Regulamento também traz, de forma mais clara e objetiva, quais são as informações que deverão constar nos comunicados direcionados à ANPD e aos titulares de dados, além de buscar mais transparência nos processos a serem seguidos pelo controlador de dados pessoais de pessoas físicas.
Ressalta-se que a comunicação do incidente deve ser realizada pelo controlador, encarregado ou representante. Nessa lógica, quando a comunicação for direcionada aos titulares de dados, esta deve necessariamente ser em linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada.
Segundo a ANPD, a aprovação e publicação do Regulamento de Comunicação de Incidente de Segurança fortalece a proteção dos direitos dos titulares, “por ser um catalisador na efetivação dos princípios gerais de proteção estabelecidos na LGPD, em especial o princípio da transparência, haja vista a necessidade de prestação de informações claras aos titulares cujos dados pessoais foram objeto de incidente”.
Nesse sentido, é essencial estar atento aos critérios de sanção da autoridade para entender melhor como equilibrar os esforços para manter a conformidade à LGPD, bem como para não só identificar potenciais riscos, mas criar mecanismos de mitigação e forma de comunicação eficaz ao lidar com incidentes de segurança da informação.
Em breve publicaremos um guia prático sobre as principais orientações que deverão ser seguidas pelas empresas que estão buscando a atualização e conformidade à LGPD.
