Foi publicada no Diário Oficial de hoje a Resolução CD/ANPD n. 15, que aprova o Regulamento de Comunicação de Incidente de Segurança editado pela Autoridade Nacional de Proteção de Dados (ANPD).
Confira 5 pontos de atenção separados pelo nosso time.
Prazo de comunicação de 3 dias úteis O prazo de comunicação à ANPD e aos titulares passa a ser de 3 dias úteis a partir da constatação, pelo controlador, de que o incidente afetou dados pessoais. A comunicação à ANPD poderá ser complementada em até 20 dias úteis.
Novos critérios para avaliação de “risco ou dano relevante” Para determinar se o incidente deve ou não ser comunicado, o controlador deverá avaliar se tem potencial de afetar “significativamente interesses e direitos fundamentais de titulares” e, ainda, se envolve um dos critérios adicionais listados pelo Regulamento (envolvimento de dados sensíveis, dados financeiros, dados de crianças, adolescentes ou idosos, dados de autenticação em sistemas, dados protegidos por sigilo e dados em larga escala).
O sigilo não é automático O sigilo do procedimento de comunicação e das informações comunicadas à ANPD deve ser requerido e justificado pelo controlador.
O incidente pode ser amplamente divulgado Há possibilidade de que a ANPD determine a ampla divulgação do incidente por parte do controlador caso entenda que a comunicação aos titulares não foi efetiva a parcela relevante dos afetados.
Registro de incidentes não comunicados O controlador deverá manter registro dos incidentes, inclusive daqueles não comunicados, por um prazo mínimo de 5 anos. Esse registro deve contemplar as seguintes informações: data do conhecimento do evento, descrição das circunstâncias, informações sobre titulares e dados afetados, avaliações de risco realizadas, medidas de correção e mitigação tomadas, a forma e o conteúdo de comunicação à ANPD e aos titulares (se for o caso) ou os motivos da ausência de comunicação. Próximos passos A partir da publicação do Regulamento, as organizações podem estruturar ações como:
- Revisão do plano de resposta a incidentes, incluindo metodologias de avaliação de criticidade e SLAs internos;
- Complementar ou desenvolver diretrizes internas para elaboração de relatório de registro do incidente;
- Revisar contratos para garantir o fornecimento adequado de informações e cumprimento do prazo de comunicação, quando necessário
Para mais informações, entre em contato com nosso time.