Nova Regulamentação para Comunicação de incidentes de segurança com dados pessoais

A ANPD determinou três dias para comunicação de ocorrência de incidente de segurança com dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 26 de abril de 2024, no Diário Oficial da União (DOU), a Resolução n° 15/2024, que regulamenta a comunicação de incidentes de segurança com dados pessoais.

Em primeiro lugar, temos que conceituar o que é incidente de segurança com dados pessoais e esse conceito está no artigo 46, da Lei Geral de Proteção de Dados(LGPD): “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Mas nem todo incidente precisa ser informado à ANPD, apenas aqueles que tenham potencial de causar prejuízo ao titular, ou seja, possa acarretar risco ou dano relevante aos titulares de dados.

O conceito de risco relevante é muito subjetivo então foi definido pela ANPD, na regulamentação, em seu artigo 5°,  os parâmetros do que pode ser considerado risco relevante, ou seja, incidentes que contenham:

“I – dados pessoais sensíveis;

II – dados de crianças, de adolescentes ou de idosos;

III – dados financeiros;

IV – dados de autenticação em sistemas;

V – dados protegidos por sigilo legal, judicial ou profissional; ou

VI – dados em larga escala.

  • 1º O incidente de segurança que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
  • 2º Considera-se incidente com dados em larga escala aquele que abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.”

O ponto de maior atenção na Resolução n° 15/2024 é o curtíssimo prazo para comunicação do incidente de segurança.

A ANPD fixou o prazo de três dias para comunicação do incidente de segurança.

Esse prazo é contado em dias úteis, mesmo assim, é pouquíssimo tempo, tendo em vista a quantidade de informações que devem ser dadas à ANPD cujo rol está no artigo 48, §1°, da LGPD:

As empresas ficam  em uma situação muito difícil, principalmente porque aumentou o rol do que considerou incidente com risco relevante ao titular.

E como fazer a comunicação? Através do SEI – Sistema Eletrônico de Informação da ANPD, é necessário fazer um cadastro neste link.

 

Postado em Tera Talks.