Cecilia Choeri e Maria Luiza Couto Gonçalves 

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no final de abril, a Resolução nº 15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança. A Resolução modifica algumas diretrizes previamente estabelecidas pela própria ANPD em 2022. Veja os principais pontos trazidos pela Resolução:

1. Prazo de comunicação aos titulares e à ANPD

O prazo recomendado para a comunicação dos incidentes de segurança aos titulares de dados e à ANPD que, anteriormente, era de 2 (dois) dias úteis da ciência dos fatos, passou a ser de 3 (três) dias úteis do conhecimento pelo controlador de que o incidente afetou dados pessoais.

O prazo para a entrega de informações complementares após a notificação inicial, quando necessário, foi modificado de até 30 dias corridos para até 20 dias úteis.

Ambos os prazos são contados em dobro para agentes de pequeno porte.

2. Incidentes que devem ser comunicados

Um incidente de segurança deve ser comunicado quando puder acarretar risco ou dano relevante aos titulares, isto é, quando puder afetar significativamente interesses e direitos fundamentais dos titulares dos dados e, ainda, quando envolver dados em larga escala ou pelo menos uma das seguintes categorias de dados:

• Dados pessoais sensíveis;
• Dados relacionados a crianças, adolescentes ou idosos;
• Dados financeiros;
• Dados utilizados para autenticação em sistemas;
• Dados protegidos por sigilo legal, judicial ou profissional.

Quando um incidente de segurança é considerado apto a afetar significativamente interesses e direitos fundamentais dos titulares?

Exemplos:

• Quando a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço;
• Quando a atividade de tratamento puder ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade;
• Entre outras.

Quando se pode considerar que o incidente envolveu dados em larga escala?

Quando abrange número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.

3. Quem deve fazer a comunicação

A LGPD já determinava que a responsabilidade de comunicar um incidente de segurança aos titulares e à ANPD é do controlador. A nova Resolução determina que essa comunicação deve ser feita por meio do Encarregado ou por um representante legalmente autorizado.

4. Registro dos incidentes de segurança

A nova Resolução exige que o controlador mantenha registro de todos os incidentes de segurança, inclusive daqueles não comunicados à ANPD e aos titulares, por um mínimo de 5 (cinco) anos, contendo o seguinte:

• Data de conhecimento do incidente;
• Descrição geral das circunstâncias em que o incidente ocorreu;
• Natureza e a categoria de dados afetados;
• Número de titulares afetados;
• Avaliação do risco e os possíveis danos aos titulares;
• Medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
• Forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
• Os motivos da ausência de comunicação, quando for o caso.