ANPD estabelece medida que exige resposta rápida e gera impacto direto nas Autoridades de Registro da ICP-Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que empresas e órgãos públicos comuniquem à entidade incidentes de segurança envolvendo dados pessoais em até três dias úteis, contados a partir do conhecimento do incidente. A exigência está prevista na Resolução CD/ANPD nº 15/2024, em vigor desde abril de 2024, mas vem sendo aplicada com rigor no segundo semestre de 2025.
A medida da ANPD tem como objetivo reforçar a transparência e proteger os direitos dos titulares diante da intensificação de ataques cibernéticos e falhas operacionais. A norma se aplica somente quando o incidente representa risco ou dano relevante aos titulares, por exemplo, envolvendo dados sensíveis, financeiros, de autenticação ou de menores de idade, e também pode envolver tratamento em larga escala.
Se uma avaliação preliminar indicar falta de informações completas, é possível realizar uma comunicação inicial, seguida de complementação dentro de 20 dias úteis. Ainda que o incidente não precise ser reportado, o controlador deve manter registro interno pelo prazo mínimo de cinco anos.
Mercado de certificação digital
A mudança tem impacto direto sobre o setor de certificação digital, especialmente nas Autoridades de Registro (ARs) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que lidam diariamente com dados sensíveis, como documentos oficiais, informações biométricas e assinaturas eletrônicas.
Para o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Jorge Prates, a nova exigência representa tanto um avanço quanto uma responsabilidade adicional.
“Para nós, que emitimos e validamos certificados digitais, esse mecanismo garante rastreabilidade e fortalece a cadeia de confiança da ICP-Brasil. Isso ajuda a prevenir fraudes e assegura que qualquer incidente seja tratado com a devida transparência e responsabilidade”, afirma.
Prates destaca ainda que as ARs precisam estar preparadas para responder com agilidade e precisão diante de qualquer indício de vulnerabilidade.
“O prazo de três dias úteis exige que as estruturas de governança e segurança da informação estejam atualizadas e integradas. A comunicação tempestiva de falhas não é apenas uma exigência legal, mas um fator estratégico para manter a credibilidade das instituições que operam com dados pessoais. No ecossistema da certificação digital, a confiança é o principal ativo – e a capacidade de agir rapidamente em caso de incidentes se torna cada vez mais central”, diz.
Sobre AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil AARB é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Procure saber sobre o Selo de Ação Ética Na Certificação Digital. Esse Selo identifica as empresas que assumem o compromisso ético na sociedade entre seus pares, clientes e colaboradores.
Leia a coluna da AARB aqui no Crypto ID!
ITI institui grupo de trabalho para revisar normas de identificação na ICP-Brasil
Modernização da ICP-Brasil não começou agora, diz Edmar Araújo
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
Siga o Crypto ID no LinkedIn agora mesmo!
