ANPD publica Consulta Pública sobre proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais

No dia 02 de maio o Diretor-presidente da Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União (DOU), a Consulta Pública n° 1, de 27 de abril de 2023, que visa realizar audiência pública e colher manifestações da sociedade sobre a Minuta de Resolução do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.

O tema encontra-se previsto no Item 3 da Agenda Regulatória da ANPD para o biênio 2023/2024, aprovada pela Portaria ANPD nº 35, de 4 de novembro de 2022.

A minuta de Resolução tem o objetivo de regulamentar a previsão de comunicação, por parte do controlador, sobre a ocorrência de incidentes de segurança que podem ocasionar risco ou dano relevante aos titulares de dados pessoais, consoante dispõe o art. 48 da LGPD, que estabelece a necessidade de um prazo razoável para a notificação.

Além disso, a minuta prevê, no âmbito da comunicação de incidentes, suas definições, aspectos processuais e dispositivos sobre determinação de providências para a salvaguarda dos direitos dos titulares.

A Autoridade estabelece que em caso de incidentes de segurança com dados pessoais o controlador deve comunicar o titular dos dados, no prazo de três dias úteis contados do conhecimento do incidente de segurança, sendo em dobro quando o agente for de pequeno porte.

Os titulares devem ter acesso às informações com linguagem simples e de fácil entendimento, de forma direta e individualizada, tais como, telefone, e-mail, mensagem eletrônica ou carta, devendo constar as seguintes informações:

– descrição da natureza e da categoria de dados pessoais afetados;

– os riscos ou impactos ao titular;

– as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

– a data do conhecimento do incidente de segurança; e

– o contato para obtenção de informações e dados do encarregado, quando aplicável.

A minuta prevê que caso a comunicação direta e individualizada se mostre inviável ou não seja possível determinar, parcial ou integralmente, os titulares afetados, o controlador deverá comunicar a ocorrência do incidente, no prazo e com as informações exigidas, pelos meios de divulgação disponíveis, tais como na sua página na Internet, em aplicativos, em suas mídias sociais e em canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização pelo período de, no mínimo, seis meses.

De acordo com a ANPD, são considerados incidentes de segurança (dados sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; ou dados em larga escala).

Segundo a resolução o conceito de incidente é aquele considerado que pode “afetar significativamente interesses e direitos fundamentais” é descrito como aqueles que possam “impedir ou limitar o exercício de direitos ou a utilização de um serviço” ou “ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade”.

Além disso, a proposta da resolução indica que serão considerados incidentes “em larga escala” quando “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”.

A minuta lista ainda uma série de informações que devem estar presentes na comunicação do incidente de segurança à ANPD, dentre as quais: a descrição da natureza e da categoria de dados pessoais afetados; o número de titulares afetados, discriminando quando aplicável o número de crianças, adolescentes ou idosos; as medidas de segurança para a proteção de dados adotadas após o incidente; os riscos relacionados aos incidentes e os possíveis impactos aos titulares; data e hora do conhecimento do incidente; dados do encarregado, do controlador e informações do operador; e a declaração de que foi realizada a comunicação aos titulares.

Ainda de acordo com a minuta, caberá ao controlador de dados solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.

A audiência pública será realizada de forma virtual por meio do canal da ANPD no Youtube. Informações adicionais, incluindo os dias e horários de realização da audiência pública, serão disponibilizados em momento oportuno.

A proposta da minuta da resolução encontra-se disponível no portal da ANPD e através da plataforma Participa Mais Brasil.

Os interessados poderão encaminhar as sugestões de contribuição de forma eletrônica por meio da plataforma entre os dias 02 a 31 de maio de 2023, exclusivamente por meio da plataforma Participa mais Brasil.

Acesse AQUI a íntegra da Minuta de Resolução do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.

Permanecemos à disposição através do e-mail agfadvice@agfadvice.com.br ou por meio do telefone (51) 3573.0573.

AGF Advice Consultoria Legislativa, Tributária e Empresarial