A ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução 15/24, que aprovou o Regulamento de Comunicação de Incidente de Segurança, no âmbito da LGPD.
Ao analisar a resolução, separamos 10 principais pontos do regulamento da ANPD. Veja:
Qual o objetivo da norma que regulamenta o procedimento para a Comunicação de Incidente de Segurança?
Mitigar ou reverter prejuízos gerados por incidentes; assegurar a responsabilização e a prestação de contas; promover a adoção de boas práticas de governança, prevenção e segurança; e fortalecer a cultura de proteção de dados pessoais no país.
O que prevê o regulamento?
Um rol de obrigações para os controladores de dados pessoais, com os procedimentos necessários para a comunicação de eventual incidente de segurança, definido pelo regulamento como: "qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais".
Quem poderá comunicar o incidente de segurança e qual é o prazo?
O controlador de dados deverá comunicar o incidente de segurança à ANPD e ao titular, por meio de representante legal ou encarregado de proteção de dados, no prazo de três dias úteis a contar da data do reconhecimento do evento que afetou os dados pessoais. A informação poderá ser complementada, de maneira fundamentada, no prazo de vinte dias úteis a contar da data da primeira comunicação. Os prazos de comunicação, mencionados acima, serão duplicados para pequenos agentes, de acordo com o disposto na regulamentação que implementa a LGPD para pequenos agentes de processamento, aprovada pela resolução CD/ANPD 2/22.
Quando deverá ser realizada a comunicação de incidente de segurança?
É dever do responsável pela proteção de dados informar tanto à Autoridade Nacional de Proteção de Dados quanto ao titular sobre qualquer incidente de segurança envolvendo informações pessoais que possa representar um risco significativo para os indivíduos. Esse risco pode resultar em prejuízos como violações de direitos fundamentais, danos físicos, violações de privacidade, fraudes financeiras, entre outros, afetando diretamente a vida dos titulares. Para que um incidente seja considerado relevante, ele deve incluir dados sensíveis, de crianças, adolescentes ou idosos, financeiros, de autenticação, protegidos por segredo legal ou, ainda, atingir uma grande quantidade de informações.
Como deve ser feita a comunicação de incidente de segurança?
A comunicação de incidente de segurança deve ser feita através de formulário eletrônico da ANPD, fornecendo dados sobre o incidente e as medidas tomadas. O formulário deve ser protocolado pelo SUPER - Sistema Único de Processo Eletrônico em Rede. O controlador pode solicitar sigilo para informações protegidas por lei.
Quais os documentos que poderão ser solicitados pela ANPD?
A ANPD também poderá solicitar ao controlador de dados, a qualquer momento, além das informações contidas no formulário, documentos adicionais relacionados ao incidente de segurança, inclusive o registro do tratamento de dados pessoais em relação ao incidente, a proteção de dados pessoais e o relatório de tratamento do incidente ocorrido, estabelecendo um prazo para o envio destas informações e documentos.
Quais são as consequências para a falta de comunicação do incidente pelo controlador?
Caso a ANPD tome conhecimento de um incidente de segurança que não foi comunicado pelo controlador, poderá instaurar um procedimento de apuração e determinar o envio da comunicação aos órgãos competentes. Além disso, a ANPD pode abrir um processo sancionador caso haja descumprimento dessa obrigação.
Quais as determinações e medidas preventivas pela ANPD?
A ANPD pode exigir que o controlador tome medidas para proteger os direitos dos titulares após avaliar a gravidade do incidente de segurança, como comunicar amplamente o incidente e implementar medidas para mitigar seus efeitos. Também pode impor multas diárias para garantir o cumprimento das providências determinadas.
Quando ocorrerá a extinção do processo de comunicação de incidente?
O processo de comunicação de incidente de segurança será considerado extinto se não houver evidências suficientes, se o incidente não representar um risco significativo, se não envolver dados pessoais, se todas as medidas de mitigação forem tomadas e se os titulares forem informados conforme exigido pela LGPD. O registro do incidente deve ser mantido pela organização por pelo menos cinco anos.
Como as organizações podem se preparar no caso de um eventual incidente de segurança?
A governança em privacidade adequada permite identificar e registrar o tratamento de dados pessoais, implementar medidas de segurança e mitigar riscos. Organizações devem conhecer suas operações com dados para responder rapidamente a incidentes de segurança. É essencial ter um plano de resposta e seguir as diretrizes do Regulamento de Comunicação de Incidentes de Segurança da ANPD.
Fonte www.migalhas.com.br
Comments