Mídia
Quase 1 ano após a Consulta Pública promovida pela Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema, foi publicada a Resolução CD/ANPD Nº 15, que aprova o Regulamento de Comunicação de Incidente de Segurança.
Este novo regulamento visa estabelecer as regras e procedimentos que devem ser adotados diante da ocorrência de “incidentes de segurança”, representados por eventos adversos que comprometam a confidencialidade, integridade ou disponibilidade de dados pessoais, seja de forma voluntária ou acidental.
A regulamentação deste tema era bastante esperada, visto que a Lei Geral de Proteção de Dados Pessoais (LGPD) prevê a necessidade de comunicação de incidentes de segurança à ANPD e aos titulares envolvidos, mas deixa o seu procedimento e requisitos em aberto. Agora, a partir da entrada em vigor do Regulamento, algumas das lacunas deixadas pela legislação puderam ser sanadas, gerando maior segurança jurídica aos agentes de tratamento, ou seja, aos controladores e operadores que tratam os dados pessoais.
Dentre todas as inovações contempladas no Regulamento, uma das principais diz respeito ao prazo do controlador para a comunicação de incidentes, que foi fixado em 3 dias úteis, contados da ciência do controlador de que o incidente afetou dados pessoais.
Outro destaque diz respeito à terminologia utilizada e diferentes definições, inclusive, para determinar quando comunicação é exigida e as hipóteses em que poderá ser dispensada. É importante ressaltar que, a partir de agora, todos os incidentes de segurança, comunicados ou não, deverão ser registrados e mantidos pelo controlador pelo prazo 5 anos, contendo informações específicas sobre o incidente, como a data da ocorrência, categoria de dados envolvidos, titulares afetados, medidas de correção adotadas, dentre outras.
E, como era de se esperar, a norma em questão também prevê algumas consequências aos controladores responsáveis pelos incidentes de segurança, conferindo à ANPD o poder de, a depender da gravidade da ocorrência e para salvaguardar os direitos dos titulares, determinar a ampla divulgação do incidente em meios de comunicação, assim como a adoção de medidas para reverter ou mitigar os efeitos do incidente.
Como resultado das novas definições do Regulamento, ficou estabelecido que o descumprimento das regras relacionadas à comunicação de incidentes de segurança poderá resultar em instauração de processo administrativo sancionador.
Em vista desta nova regulamentação, as organizações deverão, mais do que nunca, estar comprometidas com a adoção de técnicas seguras de coleta, tratamento e armazenamento de dados, além de manter os seus processos de registro e comunicação de incidentes em conformidade com o que exige agora a ANPD. Esta conformidade pode ser alcançada por meio da implementação de um programa de governança em privacidade confiável e atualizado.
Para mais informações, consulte os profissionais da área de Governança Corporativa e Programas de Compliance do GSGA.