Em 26 de abril de 2024, a ANPD (Autoridade Nacional de Proteção de Dados) publicou a Resolução CD/ANPD nº 15 que aprova o Regulamento de Comunicação de Incidente de Segurança (RCIS).
Por meio da RCIS, a ANPD visa mitigar os danos de um incidente de segurança, garantir a responsabilidade, promover boas práticas de governança, prevenção e segurança, bem como fortalecer a proteção dos titulares e de seus dados pessoais.
De fato, a ANPD publicou orientações gerais em seu website – como o prazo sugerido de 2 dias úteis para as comunicações – e criou um formulário para a realização da comunicação de incidentes de segurança, bem como instituiu um sistema próprio para o seu envio. No entanto, desde a promulgação da LGPD, o tema de incidente de segurança era objeto de interpretações diversas pelo mercado e pela comunidade acadêmica, em razão da ausência de critérios, definições, prazos e parâmetros de comunicação claros e objetivos.
Dentre os avanços e inovações trazidas pelo Regulamento, destacamos os principais tópicos:
Definições
| Pré-RCIS | Acerca dos termos relativos a incidentes de segurança, a LGPD não abarcava o conceito deste, o que era interpretado como evento que violasse uma das proteções trazidas no art. 46:Art. 46. Os agentes de segurança devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. |
| Pós-RCIS | O RCIS definiu como incidente de segurança qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.Além disso, o RCIS conceituou termos como: > categoria de dados pessoais: classificação dos dados pessoais de acordo com o contexto de sua utilização, tais como dados de identificação pessoal, dados de autenticação em sistemas, dados financeiros; > dado financeiro: dado pessoal relacionado às transações financeiras do titular, inclusive para contratação de serviços e aquisição de produtos;dado protegido por sigilo legal ou judicial: > dado pessoal cujo sigilo decorra de norma jurídica ou decisão judicial; > dado protegido por sigilo profissional: dado pessoal cujo sigilo decorra do exercício de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem; |
Critérios
| Pré-RCIS | No âmbito da LGPD, não havia previsão do conceito de risco ou dano relevante. No website da ANPD, constava apenas orientação exemplificativa. |
| Pós-RCIS | A partir do RCIS, definiu-se que pode configurar risco ou dano relevante quando o incidente de segurança tiver a capacidade de afetar significativamente interesses e direitos fundamentais dos titulares – isto é, se puder impedir o exercício de direitos ou a utilização de um serviço, além de ocasionar danos materiais ou morais aos titulares – e, cumulativamente, envolver, pelo menos:dados sensíveis;dados de crianças, adolescentes ou idosos;dados financeiros;dados de autenticação em sistemas;dados protegidos por sigilo legal, judicial ou profissional; oudados em larga escala (número significativo de titulares ou de volume de dados, bem como a duração, frequência e extensão geográfica de localização dos titulares). |
Prazo
| Pré-RCIS | A LGPD prevê em seu art. 48, § 1º que a comunicação deve ser realizada em prazo razoável.A ANPD orientava, em seu website, o prazo de 2 dias úteis, contados da ciência do fato; e de 30 dias corridos para comunicação complementar, na hipótese de ter sido realizada comunicação preliminar. |
| Pós-RCIS | O RCIS estabelece o prazo de 3 dias úteis, ressalvada a existência de prazo diverso em legislação específica; e de 20 dias úteis para informações complementares, a partir da data da comunicação.Além disso, foi previsto o mesmo prazo de 3 dias úteis para a comunicação aos titulares.Nos casos de agentes de tratamento de pequeno porte, os prazos são contados em dobro. |
Comunicação à ANPD
| Pré-RCIS | O art. 48 da LGPD impõe aos controladores o dever de comunicar à ANPD e ao titular a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.A ANPD orientava, em seu website, que o cumprimento deste dever se dá pelo processo de Comunicação de Incidente de Segurança (CIS).O § 1º do art. 48 da LGPD prevê que a comunicação deve conter, pelo menos:a descrição da natureza dos dados pessoais afetados;as informações sobre os titulares envolvidos;a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;os riscos relacionados ao incidente;os motivos da demora, no caso de a comunicação não ter sido imediata; eas medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. |
| Pós-RCIS | O RCIS, em linha com o art. 48, § 1º da LGPD juntamente com novos elementos, previu que a comunicação – a ser realizada por formulário eletrônico – deve conter:a descrição da natureza e da categoria de dados pessoais afetados;o número de titulares afetados, especificando a quantidade de crianças, adolescentes ou idosos, quando aplicável;as medidas técnicas e de segurança utilizadas para proteção dos dados pessoais, anteriores e posteriores ao incidente;os riscos decorrentes do incidente e possíveis impactos aos titulares;os motivos da demora, quando a comunicação for intempestiva;as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente;a data de ocorrência do incidente, quando determinada, e a de conhecimento pelo controlador;os dados do encarregado ou representante do controlador;a identificação do controlador ou declaração de agente de tratamento de pequeno porte;a identificação do operador, quando aplicável;a descrição do incidente e da causa principal, se identificada;o total de titulares cujos dados são tratados, na atividade afetada pelo incidente. |
Comunicação aos Titulares
| Pré-RCIS | A ANPD orientava, em seu website, que a comunicação aos titulares deveria ser realizada o mais rápido possível, individual e diretamente ao titular, utilizando o meio habitual de contato com este. O comunicado deveria conter, pelo menos:resumo e data da ocorrência do incidente; descrição dos dados pessoais afetados; riscos e consequências aos titulares de dados; medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis; dados de contato do encarregado do controlador para que os titulares possam solicitar informações adicionais a respeito do incidente. |
| Pós-RCIS | A partir do RCIS, foi estabelecido que a comunicação aos titulares deve utilizar linguagem simples e de fácil entendimento e ser realizada de forma direta e individualizada, contendo:a descrição da natureza e da categoria dos dados pessoais afetados;as medidas técnicas e de segurança utilizadas;os riscos decorrentes do incidente e possíveis impactos aos titulares;os motivos da demora, quando a comunicação for intempestiva;as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente;a data do conhecimento do incidente;o contato para obtenção de informações e, quando aplicável, do encarregado. |
Além dos pontos elencados, o RCIS traz outras particularidades relevantes, como:
- A possibilidade de a ANPD solicitar, a qualquer tempo: (i) o registro das operações com os dados pessoais afetados, o relatório de impacto a proteção de dados pessoais e o relatório de tratamento do incidente (documento que contém cópias e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos);
- A obrigação de o controlador manter o registro dos incidentes de segurança por ao menos 5 anos, inclusive daqueles não comunicados;
- O processo de comunicação de incidente com objeto específico de fiscalização dos atos relacionados à resposta ao incidente, inclusive com a possibilidade de determinação da adoção de medidas preventivas ao controlador, com aplicação de multa diária para assegurar o cumprimento das medidas preventivas;
- Hipóteses específicas de extinção do processo de comunicação de incidentes, como na ausência de evidências suficientes de ocorrência do incidente ou caso não haja potencial para acarretar risco ou dano relevante;
As possibilidades de instauração de processo administrativo sancionador, caso descumprido o processo de comunicação de incidente e caso não sejam adotadas as medidas para reverter ou mitigar os efeitos do incidente, deverão estar de acordo com o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD (Resolução CD/ANPD nº 1 de 2021).
Por fim, no final de 2023, cabe lembrar que a ANPD publicou o segundo Relatório de Ciclo de Monitoramento (CRM) apresentando que, entre janeiro e junho do referido ano, a Coordenação-Geral de Fiscalização (CGF) recebeu 496 Requerimentos. Trata-se da soma das denúncias de violações à Lei Geral de Proteção de Dados Pessoais (LGPD) e das petições de titulares (solicitação de um titular para exercer seus direitos em relação ao tratamento). A maior parte dos Requerimentos refere-se aos setores da Administração Pública, telecomunicações, plataformas digitais, bancos, instituições financeiras, administradoras de cartão e agregadores de dados. No mesmo período, houve 163 Comunicações de Incidentes de Segurança (CIS), um aumento de 15,6% em relação aos 141 do primeiro semestre de 2022. Uma obrigação dos agentes de tratamento, as CIS são comunicações de eventos adversos confirmados, passíveis de causar riscos ou danos relevantes aos titulares, e que comprometam a confidencialidade, integridade ou disponibilidade de dados pessoais. Assim como em 2022, os casos de ransomware (sequestro de dados) foram a principal causa das CIS.
Em razão do RCIS, é importante que os agentes de tratamento consultem suas políticas e processos internos, a fim de atualizá-los com o Regulamento, além de mitigar a ocorrência de incidentes de segurança.
O GCAA está à disposição para aperfeiçoar o Programa de Privacidade e Proteção de Dados de seus clientes e garantir que estejam em conformidade com as atuais regras e diretrizes da ANPD.
Para mais informações, contate-nos: contato@gcaa.com.br
Tae Young Cho – tae@gcaa.com.br
Nariman Gonzales – nariman.gonzales@gcaa.com.br
#gcaa
#gonsalesechoadvogadosassociados