ANPD: regra para comunicação de incidentes ainda terá AIR e consulta pública
Joacil Rael, um dos diretores da Autoridade Nacional de Proteção de Dados (ANPD), afirmou hoje, 7, em evento da Brasscom, que o próximo passo para definir as regras de comunicação de incidentes de dados pessoais será a análise de impacto regulatório (AIR). Em seguida, a autoridade fará uma consulta e audiência públicas.
“São vários passos que a gente tem que trilhar, tem que criar o caminho”, afirmou. Rael contou também que incidentes de segurança foi um dos temas mais abordados nos primeiros meses de ANPD, principalmente, por conta dos grandes vazamentos de informação. “A gente é cobrado”, justificou.
A ANPD iniciou a tomada de subsídios para notificação de dados de incidente em fevereiro deste ano, mesma data em que publicou as primeiras orientações para comunicação dessas ocorrências.
Críticas empresariais a comunicação de incidentes
A advogada Ana Paula Bialer, que também foi indicado ao Conselho Nacional de Proteção de Dados (CNPD) pela Brasscom, e o representante da Confederação Nacional de Saúde (CNsaúde) também indicado para o conselho, Marcos Ottoni, fizeram algumas críticas a tomada de subsídios da ANPD sobre comunicação de incidentes.
Um dos pontos foi o tempo para a notificação de incidentes de dados, de dois dias úteis, considerado insuficiente. Bialer conta que as associações ficaram “assustadas” e que tal prazo traz insegurança às organizações. “As associações precisam de algum tempo para entender qual foi o incidente de segurança, qual é o conjunto de titulares e dados afetados e fazer um exercício posterior para entender se aquilo de fato apresenta um risco relevante”, argumentou.
Por sua vez, Marcos Ottoni disse que, por conta do grande volume de dados processados pela área da saúde, o prazo de notificação tem gerado preocupações. Para ele, o ideal seria utilizar os mesmos critérios do estadunidense HIPAA, que regula compliance na área da saúde. Nesse caso, o prazo de comunicação iria de dois para 60 dias, nas situações de incidentes envolvendo mais de 500 titulares.
Outra ressalva diz respeito à definição de quais incidentes realmente provocam dano. De acordo com os dois representantes, é preciso mais critérios para definir o que causa risco. Um vazamento de e-mail em algumas regulações não seria considerado danoso, mas em outras sim, exemplificou Bialer.
Já Ottoni questionou se ataques ramsonware, em que o ataque do sistema atinge principalmente a organização, e não ao titular, precisariam ser notificados. Isso porque a organização perde acesso aos dados, que ficam sob domínio dos hacker, enquanto as informações dos titulares não são vazadas.
Por fim, a advogada defendeu que a ANPD estabelecesse diferenças na comunicação com a autoridade e com o titular dos dados. O órgão, por ter uma visão mais técnica, deveria receber informações com maior detalhamento do que o titular. “Ele [titular] poderá se aterrorizar com o fato dos dados terem vazado e não conseguir ter uma ação mais concreta e imediata decorrente dessa informação.”