ANPD aprova o Regulamento de Comunicação de Incidente de Segurança

Regra manda empresas guardarem registro de incidentes de segurança com dados pessoais por pelo menos cinco anos

Foto: Tele.Síntese

A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje, 26, a Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS).

Segundo a autarquia, o texto tem os objetivos de mitigar ou reverter prejuízos gerados por incidentes; de assegurar a responsabilização e a prestação de contas; de promover a adoção de boas práticas de governança, prevenção e segurança; e de fortalecer a cultura de proteção de dados pessoais no País.

O RCIS prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.

O regulamento também traz os prazos para que o controlador efetive a comunicação e quais informações devem ser encaminhadas. O normativo traz, ainda, a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.

Diz ainda que a comunicação de incidente de segurança à ANPD e aos usuários deverá ser realizada em no máximo três dias úteis, quando não houver alguma lei específica setorial que estabeleça algo diferente.

As empresas também terão que detalhar à ANPD que tipo de vazamento aconteceu, especificando:

  1. natureza e da categoria de dados pessoais afetados;
  2. o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
  3. as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
  4. os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
  5. os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo;
  6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
  7. a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
  8. os dados do encarregado ou de quem represente o controlador;
  9. a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
  10. a identificação do operador, quando aplicável;
  11. a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
  12. o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.

Aos usuários, deverão emitir comunicado menos detalhado, mas que informa que incidente aconteceu, o que está fazendo para corrigir o problema, os riscos ao usuários devido ao vazamento, porque não comunicou antes o incidente, caso a data de conhecimento esteja distante, e contato para o titular buscar mais informações.

Avatar photo

Rafael Bucco

Artigos: 4210