Publicada resolução que regulamenta os procedimentos de comunicação de incidentes
Notícias LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou em 24 de abril uma nova regulamentação que estabelece os procedimentos obrigatórios para comunicação de incidentes de segurança por parte dos agentes de tratamento de dados pessoais.
Esta norma é crucial e exige atenção detalhada, especialmente por cooperativas que necessitam adaptar suas políticas e procedimentos internos. Além disso, é fundamental que sejam realizados ajustes contratuais para assegurar obrigações explícitas de cooperação na identificação, tratamento, mitigação e notificação de incidentes que envolvam dados pessoais.
Confira o inteiro teor da resolução
A Resolução emitida pela ANPD fornece diretrizes detalhadas para que os controladores de dados possam determinar se um incidente representa um risco ou dano significativo aos titulares dos dados. De acordo com a ANPD, a presença dos requisitos listados abaixo indica a possibilidade de risco ou dano relevante aos titulares dos dados e gera, consequentemente, o dever de comunicação estabelecido na norma.
|
Afetar significativamente interesses e direitos fundamentais dos titulares. |
• Atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço; • Atividade de tratamento que possa ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade. |
|
+ |
|
|
Um ou mais dos critérios indicados no Regulamento. |
• Dados pessoais sensíveis; • Dados de crianças, de adolescentes ou de idosos; • Dados financeiros; • Dados de autenticação em sistemas; • Dados protegidos por sigilo legal, judicial ou profissional; ou • Dados em larga escala (abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares). |
|
= |
|
|
Incidente pode acarretar risco ou dano relevante aos titulares. |
|
O normativo estabelece de forma expressa o prazo de até 03 (três) dias úteis para que o controlador efetue a comunicação inicial à ANPD e aos titulares. A comunicação poderá ser complementada no prazo de até 20 (vinte) dias úteis, após o protocolo inicial.
A regulamentação especifica que os controladores têm um prazo de até três dias úteis para realizar a comunicação inicial de incidentes à ANPD e aos titulares dos dados. Esta comunicação pode ser detalhada e complementada em um prazo adicional de até vinte dias úteis após o registro inicial.
Para agentes de tratamento de pequeno porte, definidos conforme a Resolução nº 02/2022 da ANPD, os prazos para as comunicações inicial e complementar são dobrados, proporcionando mais tempo para cumprir estas obrigações.
Segue abaixo o quadro com as informações que devem ser fornecidas pelos controladores aos titulares dos dados e à ANPD:
|
Comunicado para a ANPD |
Comunicado para os titulares |
|
• natureza e categoria dos dados pessoais afetados; • número de titulares afetados, discriminando, se possível, o número de crianças, de adolescentes ou de idosos; • medidas técnicas e de segurança adotadas antes e após o incidente; • riscos relacionados ao incidente e possíveis impactos aos titulares; • justificativa da comunicação não ser realizada no prazo de 03 dias úteis; • medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente; • data da ocorrência do incidente e do seu conhecimento pelo controlador; • dados do encarregado ou de quem represente o controlador; • identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte; • identificação do operador, quando aplicável; • descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e • total de titulares envolvidos nas atividades de tratamento afetadas pelo incidente. |
• natureza e categoria de dados pessoais afetados; • medidas técnicas e de segurança utilizadas para a proteção dos dados; • riscos relacionados ao incidente com identificação dos possíveis impactos; • justificativa da comunicação não ser realizada no prazo de 03 dias úteis; • medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente; • data do conhecimento do incidente de segurança; e • contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado. |
Um ponto crucial estabelecido pela nova resolução da ANPD é a exigência de que os agentes de tratamento mantenham um registro detalhado de todos os incidentes de segurança por um período mínimo de cinco anos. Isso se aplica mesmo que o incidente não tenha sido comunicado à ANPD ou aos titulares dos dados.
A análise minuciosa dessa resolução é essencial e deve ser uma prioridade para os Encarregados pelo tratamento de dados pessoais em cooperativas, dado o impacto significativo que ela pode ter nos programas de conformidade com a LGPD.
É fundamental realizar ajustes nos procedimentos internos, garantir alinhamentos com parceiros estratégicos e, quando necessário, proceder com aditamentos contratuais para assegurar a cooperação adequada na investigação e comunicação de incidentes à ANPD e aos titulares dos dados, conforme aplicável.
Gostou do tema? Nos acompanhe e fique por dentro de todas as orientações publicadas pela ANPD sobre proteção de dados pessoais.
