Cecilia Choeri e Maria Luiza Couto Gonçalves
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no final de abril, a Resolução nº 15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança. A Resolução modifica algumas diretrizes previamente estabelecidas pela própria ANPD em 2022. Veja os principais pontos trazidos pela Resolução:
1. Prazo de comunicação aos titulares e à ANPD
O prazo recomendado para a comunicação dos incidentes de segurança aos titulares de dados e à ANPD que, anteriormente, era de 2 (dois) dias úteis da ciência dos fatos, passou a ser de 3 (três) dias úteis do conhecimento pelo controlador de que o incidente afetou dados pessoais.
O prazo para a entrega de informações complementares após a notificação inicial, quando necessário, foi modificado de até 30 dias corridos para até 20 dias úteis.
Ambos os prazos são contados em dobro para agentes de pequeno porte.
2. Incidentes que devem ser comunicados
Um incidente de segurança deve ser comunicado quando puder acarretar risco ou dano relevante aos titulares, isto é, quando puder afetar significativamente interesses e direitos fundamentais dos titulares dos dados e, ainda, quando envolver dados em larga escala ou pelo menos uma das seguintes categorias de dados:
Quando um incidente de segurança é considerado apto a afetar significativamente interesses e direitos fundamentais dos titulares?
Exemplos:
Quando se pode considerar que o incidente envolveu dados em larga escala?
Quando abrange número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.
3. Quem deve fazer a comunicação
A LGPD já determinava que a responsabilidade de comunicar um incidente de segurança aos titulares e à ANPD é do controlador. A nova Resolução determina que essa comunicação deve ser feita por meio do Encarregado ou por um representante legalmente autorizado.
4. Registro dos incidentes de segurança
A nova Resolução exige que o controlador mantenha registro de todos os incidentes de segurança, inclusive daqueles não comunicados à ANPD e aos titulares, por um mínimo de 5 (cinco) anos, contendo o seguinte: