ANPD abre consulta pública sobre minuta de resolução de comunicação de incidente de segurança com dados pessoais

Marco Tulio Castro
Marco Tulio Castro
Advogado
03 de Maio de 2023 10:56
  • Enviar por e-mail
    Enviar por e-mail
    Para múltiplos destinatários separe os e-mails por vírgula.
  • Salvar em PDF

Até o dia 31 de maio será possível apresentar contribuições por meio da Plataforma Participa + Brasil
(https://www.gov.br/participamaisbrasil/regulamento-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais).

A minuta da Resolução pode ser encontrada nesse link:
(https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/Minuta_Regulamento_CIS._CD._semmarcas2.pdf)

Alguns comentários iniciais sobre a minuta de resolução:

1. Obrigatoriedade da comunicação de incidentes de segurança à ANPD e aos titulares.

1.1 Devem ser comunicados à ANPD e ao titular os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, que são caracterizados nas seguintes hipóteses:

a) possibilidade de afetar significativamente interesses e direitos fundamentais dos titulares e

b) envolver pelo menos uma das seguintes categorias de dados pessoais: dados sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas ou dados em larga escala (quando abrangerem número significativo de titulares, considerando o volume de dados envolvidos e a extensão geográfica de localização dos titulares).

1.2 São considerados incidentes que têm potencial de afetar significativamente interesses e direitos dos titulares aqueles que possam:

(i) impedir ou limitar o exercício de direitos ou a utilização de um serviço, ou

(ii) ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

2. Comunicação do incidente à ANPD e aos titulares.

2.1 A comunicação à ANPD e aos titulares deve ser realizada pelo controlador no prazo de 3 (três) dias úteis a contar do conhecimento do incidente (ou seis dias úteis em se tratando de agente de tratamento de pequeno porte, nos termos da Resolução nº 02/2022).

2.2 A comunicação à ANPD deve conter as seguintes informações:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III - as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;

IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V - os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII - a data e a hora do conhecimento do incidente de segurança;

VIII - os dados do encarregado, quando aplicável, ou do
comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;

IX - os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;

X - as informações sobre o operador, quando aplicável;

XI - a declaração de que foi realizada a comunicação aos titulares;

XII - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la;

XIII - o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.

2.3 A comunicação aos titulares deve fazer uso de linguagem simples e de fácil entendimento e ocorrer de forma direta e individualizada, caso seja possível, contendo as seguintes informações :

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - os riscos ou impactos ao titular;

III - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

IV - a data do conhecimento do incidente de segurança;

V - o contato para obtenção de informações e dados do encarregado, quando aplicável.

3. Registro de incidentes de segurança

3.1 O controlador deverá manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares, pelo prazo mínimo de cinco anos.

3.2 O registro do incidente deverá conter, no mínimo:

I - a data de conhecimento do incidente;

II - a descrição geral das circunstâncias em que o incidente ocorreu;

III - a natureza e a categoria de dados afetados;

IV - o número de titulares afetados; V - a avaliação do risco e os possíveis danos aos titulares;

VI - as medidas de correção e mitigação dos efeitos do incidente, quando aplicável;

VII - a forma e o conteúdo da comunicação, se o incidente foi comunicado à ANPD e aos titulares;

VIII - os motivos da ausência de comunicação, quando for o caso.

4. Procedimento de apuração de incidente de segurança

4.1 A ANPD poderá apurar, por meio do procedimento de apuração de incidente, a ocorrência de incidentes de segurança com dados pessoais que possam acarretar risco ou dano relevante aos titulares não comunicados pelo controlador de que venha a tomar conhecimento.


Marco Tulio Castro
Vice-Presidente de Articulação Política
Sócio WCW Advogados

LGPD
Comentários
Assespro-RJ

Praça Pio X, 55 - Sala 901
Cep 20040-020 - Rio de Janeiro / RJ

+55 21 2507-7181

equipe-assespro@assespro.rio

Federação Assespro

SRTVS Qd. 701, Bloco A, Salas 829-831
Cep 70340-907 – Brasília/DF

+55 61 3201-0932

staff@assespro.org.br

Sobre a Assespro-RJ

A Assespro-RJ é a associação empresarial do segmento de tecnologia, inovação e empreendedorismo com maior abrangência e penetração de mercado no Brasil.

Nosso objetivo é proporcionar um ambiente de negócios e prosperidade para os associados, seus clientes e parceiros, e apoiar institucionalmente o desenvolvimento do nosso setor, com foco nacional e internacional.

© 2023 Assespro-RJ