ANPD | Aberta consulta pública sobre comunicação de incidentes de segurança com dados pessoais
Destacamos a publicação no Diário Oficial da União de hoje (2), da Consulta Pública ANPD nº 1/2023, que visa receber contribuições à minuta de resolução sobre regulamenta a comunicação de incidentes cibernéticos que envolvam dados pessoais de usuários. O texto altera o regulamento da aplicação da LGPD aos agentes de tratamento de dados, estabelecendo obrigações detalhadas.
DA MINUTA
O “Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais” obriga o controlador de dados pessoais a comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular das informações, quaisquer incidentes de segurança que possam acarretar em risco ou dano relevante aos titulares dos dados. Tais eventualidades, são definidas como aquelas com potencial de:
- afetar significativamente interesses e direitos fundamentais, como impedir ou limitar direitos ou a utilização do serviço; e
- ocasionar danos materiais ou morais aos usuários, como discriminação, violação à integridade física, ao direito de imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
Quanto aos dados envolvidos no incidente, serão considerados os que envolvam pelo menos um dos critérios:
- dados sensíveis;
- dados de crianças, de adolescentes ou de idosos;
- dados financeiros;
- dados de autenticação em sistemas; ou
- dados em larga escala – atendendo critérios de quantidade e distribuição geográfica de usuários e volume de dados.
A comunicação deverá ser feita em até 3 dias úteis a partir do conhecimento do ocorrido – prazo dobrado para controladores de pequeno porte –, contendo diversas informações estabelecidas no futuro ato, bem como aquelas que venham ser solicitadas pela ANPD.
Em caso de descumprimento da notificação, a Autoridade poderá apurar a ocorrência do incidente de segurança, sem prejuízo da instauração de processo administrativo sancionador. Nessa situação, cabe ao controlador solicitar o sigilo de informações protegidas por lei, para indicar os dados cujo acesso deverá ser restringido, a exemplo daqueles relativos à atividade empresarial que possa acarretar violação de segredo comercial ou industrial.
A minuta também dispõe sobre os procedimentos de apuração e de comunicação dos incidentes de segurança, resguardando, dentre outros, o direito da ANPD de exigir, se julgar pertinente, a publicização do ocorrido em meios de comunicação. Por fim, se o problema não atender aos critérios estabelecidos ou se não forem necessárias medidas adicionais para mitigação, o processo de comunicação poderá ser extinto.
DA PARTICIPAÇÃO
Os interessados deverão realizar suas contribuições, até o dia 31 de maio, por meio do texto interativo disponibilizado no portal Participa + Brasil, estando devidamente logado.
Essa modalidade de contribuição permite comentários pormenorizados e segregados para cada dispositivo da minuta. Além disso, será promovida Audiência Pública virtual, no canal da ANPD no Youtube – mais informações, dias e horários serão disponibilizados oportunamente.
Atenciosamente,
Christian Tadeu – Presidente da Federação Assespro
Josefina Gonzalez – Presidente da Assespro-PR