*Imagem: TheDigitalWay; CC BY.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta terça-feira, dia 2 de maio, uma consulta pública sobre a minuta de resolução referente ao Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. Trata-se da exigência prevista na Lei Geral de Proteção de Dados (Lei 13.709/18), segundo a qual o controlador é obrigado a informar a Autoridade e ao titular de dados em caso de incidente que possa causar risco ou dano.
O processo de comunicação de incidente de segurança com dados pessoais atenderá aos seguintes objetivos:
I - proteger os direitos dos titulares;
II - assegurar a adoção das medidas necessárias para mitigar ou reverter os efeitos dos prejuízos gerados;
III - incentivar o princípio da responsabilização e da prestação de contas pelos agentes de tratamento;
IV - promover a adoção de regras de boas práticas e de governança e de medidas de prevenção e segurança adequadas;
V - estimular a promoção da cultura de proteção de dados pessoais;
VI - garantir que os agentes de tratamento atuem de forma transparente, e estabeleçam uma relação de confiança com o titular; e
VII - fornecer subsídios para as atividades regulatórias, de fiscalização e sancionadora da Autoridade Nacional de Proteção de Dados (ANPD).
De acordo com o Regulamento, considera-se que um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:
I - dados sensíveis;
II - dados de crianças, de adolescentes ou de idosos;
II - dados financeiros;
IV - dados de autenticação em sistemas; ou
V - dados em larga escala.
A comunicação deve ser feita à ANPD e aos titulares em três dias úteis contados do conhecimento do incidente de segurança, sempre que ele possa acarretar risco ou dano relevante aos titulares afetados. O registro do incidente deve conter, minimamente, data de conhecimento, descrição geral, natureza e categoria dos dados afetados, número de titulares afetados, avaliação de risco sobre os possíveis danos aos titulares, medidas de mitigação e correção dos efeitos, além de informações sobre a comunicação.
A norma prevê serem considerados incidentes que têm potencial de afetar significativamente interesses e direitos fundamentais dos titulares aqueles que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. A comunicação deve ser feita por formulário eletrônico, que será disponibilizado pela ANPD.
Além disso, a proposta da resolução indica que serão considerados incidentes “em larga escala” quando eles “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”.
Entenda o que é uma comunicação de incidentes de segurança.
Acesse o arquivo com a minuta de resolução aqui.
Consulta Pública
A consulta pública estará disponível na Plataforma pelos próximos 30 dias e encerrará no dia 31 de maio de 2023. Este é o único mecanismo aceito para envio de contribuições à ANPD, respeitando o prazo previsto.
Por meio da Plataforma, todos podem colaborar com a elaboração de políticas públicas e com os processos de tomada de decisão dos órgãos, utilizando os diversos meios de participação social disponíveis, e todas as contribuições realizadas ficam disponíveis para consulta, mediante login.
Nela, foram igualmente disponibilizados o Relatório de Análise de Impacto Regulatório e o voto proferido pelo Diretor Relator da matéria.
Para mais informações a respeito da utilização da Plataforma, acesse este tutorial.
Clique aqui para acessar o link da Plataforma Participa Mais Brasil.