ANPD aprova o Regulamento de Comunicação de Incidente de Segurança
A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje, 26, a Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS).
Segundo a autarquia, o texto tem os objetivos de mitigar ou reverter prejuízos gerados por incidentes; de assegurar a responsabilização e a prestação de contas; de promover a adoção de boas práticas de governança, prevenção e segurança; e de fortalecer a cultura de proteção de dados pessoais no País.
O RCIS prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.
O regulamento também traz os prazos para que o controlador efetive a comunicação e quais informações devem ser encaminhadas. O normativo traz, ainda, a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.
Diz ainda que a comunicação de incidente de segurança à ANPD e aos usuários deverá ser realizada em no máximo três dias úteis, quando não houver alguma lei específica setorial que estabeleça algo diferente.
As empresas também terão que detalhar à ANPD que tipo de vazamento aconteceu, especificando:
- natureza e da categoria de dados pessoais afetados;
- o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
- as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
- os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
- os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo;
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
- a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
- os dados do encarregado ou de quem represente o controlador;
- a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
- a identificação do operador, quando aplicável;
- a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
- o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
Aos usuários, deverão emitir comunicado menos detalhado, mas que informa que incidente aconteceu, o que está fazendo para corrigir o problema, os riscos ao usuários devido ao vazamento, porque não comunicou antes o incidente, caso a data de conhecimento esteja distante, e contato para o titular buscar mais informações.