Nova Regulamentação para Comunicação de incidentes de segurança com dados pessoais
A ANPD determinou três dias para comunicação de ocorrência de incidente de segurança com dados pessoais.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 26 de abril de 2024, no Diário Oficial da União (DOU), a Resolução n° 15/2024, que regulamenta a comunicação de incidentes de segurança com dados pessoais.
Em primeiro lugar, temos que conceituar o que é incidente de segurança com dados pessoais e esse conceito está no artigo 46, da Lei Geral de Proteção de Dados(LGPD): “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Mas nem todo incidente precisa ser informado à ANPD, apenas aqueles que tenham potencial de causar prejuízo ao titular, ou seja, possa acarretar risco ou dano relevante aos titulares de dados.
O conceito de risco relevante é muito subjetivo então foi definido pela ANPD, na regulamentação, em seu artigo 5°, os parâmetros do que pode ser considerado risco relevante, ou seja, incidentes que contenham:
“I – dados pessoais sensíveis;
II – dados de crianças, de adolescentes ou de idosos;
III – dados financeiros;
IV – dados de autenticação em sistemas;
V – dados protegidos por sigilo legal, judicial ou profissional; ou
VI – dados em larga escala.
- 1º O incidente de segurança que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
- 2º Considera-se incidente com dados em larga escala aquele que abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.”
O ponto de maior atenção na Resolução n° 15/2024 é o curtíssimo prazo para comunicação do incidente de segurança.
A ANPD fixou o prazo de três dias para comunicação do incidente de segurança.
Esse prazo é contado em dias úteis, mesmo assim, é pouquíssimo tempo, tendo em vista a quantidade de informações que devem ser dadas à ANPD cujo rol está no artigo 48, §1°, da LGPD:
As empresas ficam em uma situação muito difícil, principalmente porque aumentou o rol do que considerou incidente com risco relevante ao titular.
E como fazer a comunicação? Através do SEI – Sistema Eletrônico de Informação da ANPD, é necessário fazer um cadastro neste link.