O Conselho Diretor da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou, em 26 de abril, a Resolução CD/ANPD n. 15/24, que aprova o Regulamento de Comunicação de Incidente de Segurança (RCIS). A norma, já em vigor, complementa o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD), que prevê a obrigação do controlador de dados comunicar casos de risco ou dano relevante à ANPD e aos titulares de dados.

O regulamento traz novidades importantes, como a possibilidade de o controlador ter de dar ampla divulgação do incidente, além de definições sobre dados de autenticação em sistemas, dados financeiros e incidente de segurança. Também estabelece o Relatório de Tratamento de Incidente como o novo documento a ser fornecido pelo controlador.

A ANPD define o que é considerado risco ou dano relevante. O critério é fundamental para caracterizar a obrigação de comunicar à ANPD e aos titulares.

Segundo a ANPD, o incidente de segurança pode acarretar risco ou dano relevante se houver a possibilidade de afetar significativamente interesses e direitos fundamentais e, ao mesmo tempo, envolver dados pessoais sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional ou dados em larga escala.

O regulamento define ainda incidentes com dados em larga escala como aqueles que abrangem grande número de titulares, considerando também volume de dados envolvidos, duração, frequência e extensão geográfica dos titulares.

Para que possam atender a todas as exigências estabelecidas pelo novo regulamento, é importante, portanto, que as empresas contem com avaliações de risco precisas e detalhadas sobre os incidentes, capazes de fornecer uma visão holística e segura sobre o negócio.

Dessa forma, poderão identificar com mais assertividade as situações que devem ou não ser comunicadas. A elaboração de Relatório de Impacto à Proteção de Dados, incluindo um Data Breach Impact Assessment consistente, é essencial. O relatório, inclusive, poderá ser exigido pela ANPD.

Sigilo não é regra

O sigilo de que o incidente ocorreu não é regra. Caberá ao controlador solicitar, de maneira fundamentada, o sigilo à ANPD. Além disso, a autarquia poderá dar ampla divulgação do incidente, incluindo comunicação em mídia e internet. É possível, por exemplo, que o controlador de dados seja obrigado a incluir a informação de que o incidente ocorreu em suas mídias sociais.

Prazos, forma e conteúdo da comunicação

A ANPD definiu o prazo de três dias úteis para que a comunicação seja realizada para a autarquia e os titulares. Para comunicações complementares, o prazo é de 20 dias úteis. No caso de agentes de pequeno porte, esses prazos são considerados em dobro. Os três dias começam a contar do momento em que o controlador de dados teve ciência de que o incidente comprometeu dados pessoais.

O novo regulamento reforça a necessidade de as empresas estarem preparadas para fornecer todas as informações necessárias à ANPD e aos titulares em curto prazo. Para isso, é importante  que elas tenham um plano documentado e estruturado.

Para a ANPD, o controlador de dados deverá ser capaz de informar uma lista de 12 pontos, como a descrição da natureza e da categoria dos dados pessoais afetados; o número de titulares afetados (incluindo crianças, adolescentes e idosos); as medidas técnicas e de segurança utilizadas antes e depois do incidente; os riscos envolvidos; motivos de eventual demora; e a identificação dos operadores, se aplicável.

Para os titulares, serão, ao menos, sete pontos: a descrição da natureza e da categoria de dados pessoais afetados; as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares; os motivos da demora, no caso de a comunicação não ter sido feita no prazo estabelecido no caput do artigo 6 da resolução; as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis; a data do conhecimento do incidente de segurança; e o contato para obtenção de informações – e, quando aplicável, os dados de contato do encarregado.

Além do conteúdo, as empresas devem estar preparadas para usar linguagem simples e de fácil entendimento. Nesse ponto, técnicas de Legal Design e Visual Law podem ser grandes aliadas.

Caso seja possível identificar os titulares afetados, a comunicação deve ser direta e individualizada. Para isso, devem ser considerados os meios normalmente usados pelo controlador para contatar os titulares, como telefone, e-mail e mensagens eletrônicas.

Além de comunicar aos titulares, o controlador de dados precisará, em até três dias (a contar do término do primeiro prazo de comunicação), apresentar à ANPD declaração de que cumpriu a determinação de comunicação e as evidências de como isso foi feito.

Registro do incidente e apresentação de documentos

De forma expressa, a ANPD passa a determinar que o controlador de dados mantenha o registro de todos os incidentes de segurança com dados pessoais por pelo menos cinco anos, independentemente de terem sido comunicados ou não.

Assim, além do preparo para atuar de forma diligente, assertiva e rápida, as empresas precisarão estar prontas para documentar todo o incidente e suas etapas de identificação, resposta, remediação e comunicação.

O registro deverá conter, no mínimo:

  • a descrição da natureza e da categoria dos dados pessoais afetados;
  • as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
  • os motivos da demora, no caso de a comunicação não ter sido feita no prazo estabelecido no caput do artigo 6 da resolução;
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
  • a data do conhecimento do incidente de segurança; e
  • o contato para obtenção de informações – e, quando aplicável, os dados de contato do encarregado.

A qualquer momento, a ANPD poderá exigir que o controlador de dados apresente o registro das operações de tratamento de dados afetados, o Relatório de Impacto à Proteção de Dados e o Relatório de Tratamento do Incidente, em que constam cópias e informações relevantes para descrever o incidente e as providências adotadas.

A resposta documentada e assertiva da empresa em caso de incidentes passa a ser ainda mais fundamental. O controlador deve estar preparado não só para realizar as comunicações com o conteúdo e a forma exigidos, mas também estar pronto para prestar contas de suas atividades em relação ao evento. É importante mostrar seu preparo antes, durante e depois.

Processo administrativo próprio

As comunicações de incidente passam a exigir processo administrativo próprio (Processo de Comunicação de Incidente de Segurança), por meio do qual a ANPD fiscalizará o caso e as medidas adotadas pela empresa.

No caso de descumprimento das previsões do novo regulamento, o controlador poderá responder a processo administrativo sancionador.

A nova regulação está alinhada à forma com que a prática de Digital e Proteção de Dados Pessoais do Machado Meyer trabalha situações dessa natureza. Uma abordagem holística e estratégica, conectada com a expertise de gestão de crises do escritório e o trabalho técnico das demais práticas. Seguimos à disposição para esclarecer dúvidas sobre o tema.