Aprovadas regras para comunicação de incidente de segurança de dados

Editado em abril, Regulamento estabelece ações e prazos para empresas em situações de risco ou dano aos titulares

0

No último mês de abril foi aprovado o Regulamento de Comunicação de Incidente de Segurança, texto que estabelece as diretrizes para a comunicação, à Agência Nacional de Proteção de Dados (ANPD) e ao respectivo titular, da ocorrência de um incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos titulares. Segundo o Regulamento, entre outros pontos, a comunicação deve ser feita em um prazo de três dias úteis – um tempo que pode ser curto para o entendimento dos incidentes, que exige ainda mais preparo e organização interna das empresas. O regramento, vale destacar, só saiu depois de três anos e meio de vigência da Lei Geral de Proteção de Dados (LGPD).

“É importante que as empresas adotem práticas de governança da segurança da informação e proteção de dados pessoais que permitam ao controlador realizar a comunicação no prazo necessário”, destaca Renato Rossi Filho, do Vieira Rezende Advogados. Segundo ele, isso incluirá aspectos como a adoção de medidas técnicas e administrativas que permitam a identificação e o monitoramento de incidentes de segurança de maneira ágil e eficaz pelas áreas de segurança da informação.

Envolve também, afirma o advogado, o monitoramento de incidentes de segurança de maneira ágil e eficaz pelas áreas de segurança da informação e o fornecimento de condições materiais e humanas que permitam ao encarregado de proteção de dados pessoais avaliar se o incidente de segurança pode afetar interesses e direitos fundamentais. “Nessa situação, será necessária a comunicação à ANPD e aos titulares”, acrescenta.

Na entrevista a seguir, Rossi Filho comenta outros tópicos relevantes da Resolução da ANPD e suas implicações para as empresas que lidam com dados pessoais.


– A Resolução CD/ANPD n° 15/24 especificou como os incidentes de segurança da informação devem ser comunicados. De que forma essa comunicação deverá ser feita?

Renato Rossi Filho: A Resolução CD/ANPD Nº 15, de 24 de abril de 2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança, estabeleceu regras para a comunicação à ANPD e ao titular de dados pessoais sobre a ocorrência de um incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos titulares. A comunicação, conforme o Regulamento, deverá ser realizada pelo controlador, dentro do prazo de três dias úteis. Entretanto, o controlador deverá considerar que o prazo para comunicação poderá variar, dependendo da existência de previsão diversa em legislação específica.

O prazo de três dias úteis será contado a partir do conhecimento, pelo controlador, do incidente de segurança da informação que afetou dados pessoais.

A comunicação, em suma, será feita por peticionamento eletrônico no sistema SUPER da ANPD e deverá conter informações como a descrição da natureza e da categoria dos dados pessoais afetados; o número de titulares afetados, discriminando, quando aplicável, a quantidade de crianças, adolescentes ou idosos; as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente; e os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares, além de outras informações previstas no Regulamento e também na LGPD.


– Durante processo de audiência pública da proposta de regulamento, o mercado criticou o curto prazo para a comunicação do incidente de segurança, mas este foi mantido em três dias. A partir de agora, que adaptações as empresas precisarão fazer para conseguir o requisito?

Renato Rossi Filho: É importante que as empresas adotem práticas de governança da segurança da informação e proteção de dados pessoais que permitam ao controlador realizar a comunicação no prazo necessário. Isso incluirá, sem limitar-se a, adoção de medidas técnicas e administrativas que permitam a identificação e monitoramento de incidentes de segurança de maneira ágil e eficaz pelas áreas de segurança da informação. Envolve também o fornecimento de condições materiais e humanas que permitam ao encarregado de proteção de dados pessoais avaliar se o incidente de segurança envolvendo dados pessoais pode ou não afetar significativamente interesses e direitos fundamentais, situação na qual será necessária a comunicação à ANPD e aos titulares.


– No que consiste o relatório de tratamento do incidente e o que ele deverá conter? 

Renato Rossi Filho: O relatório de tratamento do incidente é o documento fornecido pelo controlador que contém cópias, em meio físico ou digital, de dados e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos.

O documento deverá conter informações como a natureza dos dados pessoais, número de titulares envolvidos, descrição das medidas adotadas pelo controlador para mitigar efeitos aos titulares, riscos identificados ao incidente e as medidas técnicas e administrativas utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente.

É o documento que permitirá à ANPD e aos demais interessados ter um correto entendimento sobre os elementos essenciais do incidente de segurança e saber se o controlador tomou todas as medidas necessárias.


– Em sua visão, as exigências da norma demandarão que as empresas redobrem os cuidados e se planejem para a comunicação desse tipo de incidente?

Renato Rossi Filho: Para o cumprimento dos prazos descritos no Regulamento e fornecimento todas as informações exigidas, será necessário que exista uma grande sinergia entre as diversas áreas das empresas. É evidente que é importante que as áreas de segurança da informação e proteção de dados pessoais possuam recursos técnicos e humanos para a identificação do incidente de maneira ágil e a avaliação da necessidade de comunicação e da implementação de medidas preventivas e corretivas.

Entretanto, será necessário que as empresas redobrem o cuidado e de fato implementem uma cultura de segurança da informação e proteção de dados pessoais internamente, para prevenir incidentes e também para que, na hipótese de ocorrência de incidentes de segurança da informação envolvendo dados pessoais, todas as áreas da empresa possam auxiliar as áreas de segurança da informação e proteção de dados, fornecendo as informações detalhadas sobre um incidente – o qual pode envolver diversas áreas de uma organização – e na implementação das medidas preventivas e corretivas

Deixe uma resposta

Seu endereço de e-mail não será publicado.