Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15/2024, que aprovou o Regulamento para a Comunicação de Incidente de Segurança ou RCIS.
O RCIS estabelece os procedimentos necessários para que os controladores comuniquem incidentes de segurança envolvendo dados pessoais, aclarando algumas lacunas que ainda existiam acerca de tal obrigatoriedade.
· Prazo de Comunicação para a ANPD ou aos Titulares:
Anteriormente, a ANPD recomendava que a comunicação do incidente se desse em até 2 dias úteis após a ciência do fato. Agora, de acordo com a nova Resolução, a comunicação deve ocorrer em até 03 dias úteis após a ciência do incidente. Este prazo estendido busca fornecer às organizações um prazo mais factível para que uma investigação interna ocorra.
· Prazo de envio de Informações Complementares:
Além do prazo estendido para a comunicação inicial do incidente, o RCIS estabelece um novo prazo para que o controlador forneça informações complementares. O prazo foi alterado de 30 dias corridos para 20 dias úteis, a contar a partir da comunicação inicial. O aumento desse prazo se dá em razão da complexidade de análise, apuração e documentação do incidente de segurança.
· Categoria de Dados Pessoais com maior risco:
Antes da publicação da Resolução, havia uma obscuridade acerca de quais tipo de dados estariam mais suscetíveis a riscos durante um incidente. Por isso, a ANPD trouxe uma lista exemplificativa das categorias de dados pessoais que devem ser consideradas pelo controlador ao comunicar um incidente. Essa lista inclui: dados de autenticação em sistemas, dados financeiros, dados pessoais sensíveis e dados protegidos por sigilo legal.
· Clareza na Análise de Risco de um Incidente:
A ANPD esclareceu quais critérios devem ser considerados ao determinar se um incidente requer ou não comunicação à própria ANPD e/ou aos Titulares envolvidos. Dentre os critérios, a ANPD estabeleceu que se o incidente afeta os direitos fundamentais, se envolve dados sensíveis ou se envolve uma grande quantidade de dados (larga escala), este deve ser comunicado. A divulgação desses critérios auxilia as organizações a avaliarem com mais agilidade se um incidente específico precisa ou não ser comunicado.
· Quem pode/deve comunicar um incidente?
Apesar de ser sabido que é o controlador que tem essa obrigatoriedade, não estava claro quem, em nome do controlador, tem legitimidade para comunicar um incidente de segurança envolvendo dados pessoais. Com a Resolução, essa dúvida passa a ser esclarecida, uma vez que a ANPD definiu que o Encarregado de Dados Pessoais ou o Representante Legal com poderes de representação junto à ANPD são as pessoas com legitimidade para comunicar um incidente. Além disso, a Resolução ainda exige que os documentos comprobatórios acompanhem a comunicação do incidente, garantindo a autenticidade e a legitimidade da comunicação.
· Registro de Incidente:
Além do procedimento e de detalhes importantes acerca da comunicação de incidentes de segurança, a Resolução também aborda a necessidade de manutenção dos registros detalhados de todos os incidentes, mesmo aqueles que não foram comunicados à ANPD, por um período mínimo de 5 anos. Com a publicação da Resolução nº15/2024, passa a ser mandatório que as empresas observem o RCIS, sob pena de descumprimento da LGPD e de aplicação de penalidades administrativas.
A equipe de privacy do Mattos Engelbeg Echenique fica à disposição para prestar maiores informações sobre o tema.