Até o dia 31 de maio será possível apresentar contribuições por meio da Plataforma Participa + Brasil
(https://www.gov.br/participam
A minuta da Resolução pode ser encontrada nesse link:
(https://www.gov.br/anpd/pt-br
Alguns comentários iniciais sobre a minuta de resolução:
1. Obrigatoriedade da comunicação de incidentes de segurança à ANPD e aos titulares.
1.1 Devem ser comunicados à ANPD e ao titular os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, que são caracterizados nas seguintes hipóteses:
a) possibilidade de afetar significativamente interesses e direitos fundamentais dos titulares e
b) envolver pelo menos uma das seguintes categorias de dados pessoais: dados sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas ou dados em larga escala (quando abrangerem número significativo de titulares, considerando o volume de dados envolvidos e a extensão geográfica de localização dos titulares).
1.2 São considerados incidentes que têm potencial de afetar significativamente interesses e direitos dos titulares aqueles que possam:
(i) impedir ou limitar o exercício de direitos ou a utilização de um serviço, ou
(ii) ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
2. Comunicação do incidente à ANPD e aos titulares.
2.1 A comunicação à ANPD e aos titulares deve ser realizada pelo controlador no prazo de 3 (três) dias úteis a contar do conhecimento do incidente (ou seis dias úteis em se tratando de agente de tratamento de pequeno porte, nos termos da Resolução nº 02/2022).
2.2 A comunicação à ANPD deve conter as seguintes informações:
I - a descrição da natureza e da categoria de dados pessoais afetados;
II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
III - as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;
IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
V - os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
VII - a data e a hora do conhecimento do incidente de segurança;
VIII - os dados do encarregado, quando aplicável, ou do
comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;
IX - os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;
X - as informações sobre o operador, quando aplicável;
XI - a declaração de que foi realizada a comunicação aos titulares;
XII - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la;
XIII - o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.
2.3 A comunicação aos titulares deve fazer uso de linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível, contendo as seguintes informações :
I - a descrição da natureza e da categoria de dados pessoais afetados;
II - os riscos ou impactos ao titular;
III - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
IV - a data do conhecimento do incidente de segurança;
V - o contato para obtenção de informações e dados do encarregado, quando aplicável.
3. Registro de incidentes de segurança
3.1 O controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares, pelo prazo mínimo de cinco anos.
3.2 O registro do incidente deverá conter, no mínimo:
I - a data de conhecimento do incidente;
II - a descrição geral das circunstâncias em que o incidente ocorreu;
III - a natureza e a categoria de dados afetados;
IV - o número de titulares afetados; V - a avaliação do risco e os possíveis danos aos titulares;
VI - as medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
VII - a forma e o conteúdo da comunicação, se o incidente foi comunicado à ANPD e aos titulares;
VIII - os motivos da ausência de comunicação, quando for o caso.
4. Procedimento de apuração de incidente de segurança
4.1 A ANPD poderá apurar, por meio do procedimento de apuração de incidente, a ocorrência de incidentes de segurança com dados pessoais que possam acarretar risco ou dano relevante aos titulares não comunicados pelo controlador de que venha a tomar conhecimento.
Marco Tulio Castro
Vice-Presidente de Articulação Política
Sócio WCW Advogados