A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, na última sexta-feira, 26/04, o regulamento detalhado sobre a comunicação de incidentes de segurança (Resolução CD/ANPD Nº 15, de 24 de abril de 2024), visando a implantação de procedimentos para comunicar incidentes de segurança que possam causar risco ou dano relevante aos titulares de dados.
Diante do fato, a advogada especialista em direito digital, Larissa Pigão, comenta a decisão e orienta empresas a se adequarem à nova exigência da lei. A especialista esclarece que a LGPD – Lei Geral de Proteção de Dados Pessoais estabelece no Brasil as diretrizes para o tratamento de dados pessoais, incluindo a comunicação de incidentes de segurança às autoridades e aos titulares dos dados afetados.
Nesse contexto, a determinação exige definições mais detalhadas sobre o tratamento de dados pessoais e eventuais incidentes de segurança, garantindo compreensão clara das responsabilidades e dos requisitos envolvidos. "O objetivo do regulamento é garantir uma resposta rápida e eficaz às violações de dados, protegendo direitos dos titulares, promovendo a cultura de proteção de dados pessoais, garantindo a transparência e a confiança", destaca.
Segundo a advogada, os critérios que determinam quando um incidente de segurança deve ser comunicado incluem natureza dos dados (dados pessoais sensíveis, dados de criança, adolescente e idoso, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional, e dados em larga escala) e número de titulares afetados, além de uma avaliação dos possíveis impactos e a escala da ocorrência. "Por exemplo, se um incidente envolve dados financeiros altamente sensíveis e afeta inúmeros titulares, é provável ser considerado relevante e, portanto, exija comunicação", explica.
O regulamento estabelece que a comunicação de incidentes à ANPD e aos titulares afetados deve acontecer em até três dias úteis após a constatação do incidente e que os donos dos dados afetados devem ser orientados sobre os riscos envolvidos. Esse prazo será em dobro para os controladores que forem agentes de pequeno porte. "O controlador também precisará manter por pelo menos cinco anos o registro de todos os incidentes de segurança, independentemente de serem comunicados à ANPD, e essas informações poderão ser solicitadas em caso de auditorias e inspeções pela Autoridade", ressalta Larissa.
Ela acrescenta que não se pode esquecer que a ANPD pode, independentemente da comunicação do incidente, determinar adoção de imediata de medidas preventivas pelos controladores para evitar prejuízos graves aos titulares.
Para Larissa, é crucial que as organizações se adaptem às exigências da LGPD e do regulamento detalhado sobre a comunicação de incidentes de segurança de dados. Por outro lado, a não conformidade com a LGPD e seus regulamentos apresenta riscos substanciais para as organizações, que vão de sanções legais aos danos à reputação, perda de confiança dos clientes e até litígios. "A proteção de dados não é apenas uma obrigação legal, mas uma necessidade ética e moral na era digital", declara.
