16 de maio de 2024
compartilhe
ANPD aprova seu Regulamento de Comunicação de Incidente de Segurança
No final de abril (26), Autoridade Nacional de Proteção de Dados (ANPD) publicou sua Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS). O Regulamento em questão tem por foco estabelecer os procedimentos para a comunicação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados, nos termos do art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).
O RCIS traz como objetivos: a proteção dos direitos dos titulares de dados; adoção das medidas necessárias para mitigar ou reverter os efeitos dos prejuízos gerados; a responsabilização e da prestação de contas pelos agentes de tratamento; a promoção da adoção de regras de boas práticas, de governança, de medidas de prevenção e segurança; o estímulo à promoção da cultura de proteção de dados pessoais; a garantia da transparência nos atos dos agentes de tratamento; e o fornecimento de subsídios para as atividades regulatória, fiscalizatória e sancionatória da ANPD (art. 2º).
Em seguida, em seu art. 3º, o diploma adota definições importantes, como as definições de autenticidade, confidencialidade, disponibilidade, incidente de segurança e dado pessoal afetado (Capítulo II). Então, o RCIS trata de especificidades relacionadas aos critérios para comunicação de incidente de segurança, e sobre a comunicação de incidente de segurança à ANPD e ao titular dos dados (Capítulo III).
Nos Capítulos IV e V do RCIS, o foco é disciplinar os procedimentos do registro do acidente de segurança e do processo de comunicação de incidente de segurança, respectivamente. Aqui, é importante mencionar o art. 15, que observa que “no curso do processo de comunicação de incidente de segurança, a ANPD poderá determinar ao controlador, com ou sem a sua prévia manifestação, a adoção imediata de medidas preventivas necessárias para salvaguardar direitos dos titulares, a fim de prevenir, mitigar ou reverter os efeitos do incidente e evitar a ocorrência de dano grave e irreparável ou de difícil reparação”. Ainda, segundo o art. 21, “a ANPD poderá instaurar processo administrativo sancionador caso o controlador não adote as medidas para reverter ou mitigar os efeitos do incidente de segurança no prazo e nas condições determinadas pela Autoridade”.
Por fim, a Resolução nº15/2024 alterou o inciso II do artigo 14 do Regulamento de Aplicação da Lei nº 13.709/2018 (LGPD) para agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022). Segundo o novo texto aprovado, será dado prazo em dobro aos agentes de tratamento de pequeno porte “no caso da comunicação, à ANPD e ao titular, da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do Regulamento de Comunicação de Incidente de Segurança”.
O documento pode ser acessado através do link: Resolução nº15/2024