Na última sexta-feira, 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) aprovou uma regulamentação muito esperada: o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD n° 15/2024).
Por: Juliana Abrusio e Maurício Tamer
Comunicar incidentes de segurança com dados pessoais à ANPD e às pessoas afetadas (titulares de dados) é uma obrigação estabelecida pela Lei Geral de Proteção de Dados Pessoais (LGPD), sempre que o incidente causar risco ou danos relevantes a tais pessoas (Artigo 48).
A nova Regulação vem a completar e estruturar como isto deve ser feito, deixando o recado claro de que as empresas precisam estar muito preparadas para identificar e avaliar essas situações, comunicar a ANPD e as pessoas no prazo e da forma correta, e prestar contas das providências adotadas.
Entre os destaques, chama atenção o novo prazo em que a comunicação deve ser feita: 3 dias úteis. Neste período, a empresa precisa comunicar tanto à ANPD como aos titulares de dados. O atendimento deste prazo dependerá diretamente do quão amadurecida e preparada a empresa estará para identificar e responder adequadamente ao incidente.
Comunicações complementares são possíveis, o que poderá ser feito em mais 20 dias úteis. Para empresas consideradas como agentes de pequeno porte (startups, por exemplo), os prazos são contados em dobro.
A lista do que precisa ser fornecido à ANPD e aos titulares é extensa. Além disso, as empresas devem estar preparadas para fazerem uso de linguagem simples e de fácil entendimento, ponto em que técnicas de Legal Design e Visual Law podem ser grandes aliadas.
Também vale destacar que a ANPD delimita mais o que deve ser considerado como risco ou dano relevante. Ou seja, o que caracteriza a principal condição que gera a obrigação de comunicar.
Segundo a nova regulação, o risco ou dano relevante ocorrerá se (i) puder acarretar risco ou dano relevante a interesses e direitos fundamentais, e, ao mesmo tempo, (ii) envolver dados pessoais sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional, ou dados em larga escala, o que considera critérios como número de pessoas afetadas e extensão geográfica por exemplo.
Dessa forma, reforça-se a importância de avaliações de risco precisas e detalhadas sobre os incidentes de modo a estabelecer uma visão holística e segura para o negócio em relação às situações que devem ou não ser comunicadas. A elaboração de Relatório de Impacto à Proteção de Dados, incluindo um Data Breach Impact Assessment consistente, é essencial. Inclusive, o documento, como se destacará adiante, poderá ser exigido pela ANPD.
A princípio o incidente não será considerado de forma sigilosa, salvo se a empresa demonstrar que há circunstâncias legais que justifiquem que a situação não seja pública.
Além disso, a ANPD poderá dar ampla divulgação pública do incidente, incluindo comunicação em mídia e internet. A empresa pode, por exemplo, ser obrigada a divulgar o que aconteceu em suas mídias sociais.
Assim, além do risco jurídico, ganha ainda mais presença o risco reputacional. Assim, além do preparo preventivo, lidar com o incidente de privacidade depende de uma abordagem em perfil de gestão de crise e de forma holística.
Adicionalmente à comunicação, a documentação do ocorrido também será uma frente a ser priorizada. A empresa precisará manter o registro de todos os incidentes de segurança com dados pessoais ao menos pelo prazo de 5 anos, independentemente se foram comunicados ou não. Precisará estar pronta para documentar todo o incidente e suas etapas de identificação, resposta, remediação e comunicação.
A ANPD ainda poderá exigir que o controlador de dados apresente o registro das operações de tratamento de dados afetados, o Relatório de Impacto à Proteção de Dados e o Relatório de Tratamento do Incidente em que constam cópias e informações relevantes para descrever o incidente e as medidas de segurança da informação de antes e adotadas após o incidente.
A nova Regulação, então, redobra a determinação para que a empresa esteja preparada para agir de forma célere, completa e assertiva em relação aos incidentes de privacidade, de modo a cumprir com a legislação e estar pronta para demonstrar sua diligência e cuidado com o tema.
Juliana Abrusio e Maurício Tamer são, respectivamente, sócia e advogado da área de Direito Digital e Proteção de Dados do Machado Meyer Advogados.
No Crypto ID você lê excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e a segurança da informação, também novidades sobre ferramentas e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
Sobre Juliana Abrusio
Especialista em Tecnologia, Privacidade e Proteção de Dados, Cibersegurança e Inteligência Artificial. Profissional reconhecida por diversos diretórios jurídicos (Chambers, Legal 500 América Latina, Latin Lawyers, GDR, Escolha do Cliente, Mulheres no Direito Empresarial, Who’sWho, Análise). Doutora em Filosofia do Direito pela Pontifícia Universidade Católica de São Paulo (PUC/SP), Mestre pela Universidade de Roma Tor Vergata (Itália), pós-graduado lato sensu pela Universidade Presbiteriana Mackenzie. Sócia do escritório de advocacia Opice Blum, Bruno, Abrusio, Vainzof (2002-2020); Diretora Jurídica Adjunto na FIESP (2023); Conselheira na OAB-SP (Seção São Paulo – 2021-2024); Coordenador de Inovação e Tecnologia na Universidade Mackenzie (2020-2021). Diretora do Instituto Legal Grounds (2020-2021). Professora de Direito Digital e Proteção de Dados na Universidade Presbiteriana Mackenzie. Professora convidado na Fundação Dom Cabral, PECE/Poli da Universidade de São Paulo. Coordenadora do Comitê de Direito Digital e Proteção de Dados do CESA (Centro de Estudos das Sociedades de Advogados) (desde 2014); Presidente da Comissão de Economia Digital e Regulação do Instituto dos Advogados de São Paulo (IASP) (desde 2022); Vice-Presidente da Comissão de Estudos em TI e Inteligência Artificial do Instituto dos Advogados de São Paulo (IASP) (2017-2020). Autor do livro “Proteção de Dados na Cultura do Algoritmo, Ed. D´Placido, 2020”; “Covid-19: Impactos Jurídicos na Tecnologia, Ed. D´Placido, 2020”; “Marco Civil da Internet – Lei 12.964/2014”. Organizadora do livro “Educação Digital” (2015, Ed. RT Thonsom Reuters), entre outros. Autor de diversos artigos sobre direito e tecnologia e Colunista do Crypto ID.
Leia outros artigos de Juliana Abrusio aqui!
Sobre Machado Meyer Advogados
Machado Meyer Advogados – Fundado em 1972, o Machado Meyer é um dos mais respeitados escritórios de advocacia do Brasil. O escritório cresceu acompanhando o ritmo acelerado de expansão do Brasil e trabalha para oferecer soluções jurídicas inteligentes para impulsionar os negócios e transformar a realidade dos clientes e da sociedade. Oferece assistência legal a clientes nacionais e internacionais, incluindo grandes corporações dos mais variados setores de atividades, instituições financeiras e entidades governamentais. O escritório está presente em São Paulo, Rio de Janeiro, Brasília, Belo Horizonte e Nova York. Para mais informações, acesse o site: www.machadomeyer.com.br e leia os artigos publicados aqui no Crypto ID escritos por seus advogados nesse link!
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.