Foi publicada na última sexta-feira (26/04) a Resolução n. 15 da Autoridade Nacional de Proteção de Dados (ANPD), que aprovou o Regulamento com os procedimentos para comunicação de incidentes de segurança da informação, conforme prevê o artigo 48 da Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD). 

A ANPD caracteriza um incidente de segurança como um evento adverso confirmado ou sob suspeita que comprometa a confidencialidade, integridade ou disponibilidade de informações da empresa, seja ele decorrente de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais. 

O artigo 48 da LGPD estabelece apenas um critério genérico, dispondo que as empresas “controladoras de dados1” deveriam comunicar à ANPD e os titulares de dados, sempre que o incidente pudesse acarretar risco ou dano relevante aos titulares. Tal critério era considerado subjetivo e acabava gerando dúvidas quanto a obrigatoriedade da comunicação. 

O regulamento permite maior clareza na tomada de decisão pelas empresas que sofreram algum tipo de incidente de segurança, trazendo critérios objetivos e uma lista taxativa dos tipos de dados em que será obrigatória a comunicação a ANPD e para os titulares de dados. O texto também descreve como deverá ser feita a comunicação, indicando canais e quais informações deverão ser disponibilizadas pela empresa. 

A LGPD também não dispõe de um prazo exato para realização dessas comunicações, estabelecendo apenas que deveria ser um “prazo razoável”. O regulamento por sua vez, traz os prazos específicos que devem ser observados pelas empresas, o que também permite maior segurança na execução. 

O regulamento entra em vigor imediatamente após a sua publicação. Portanto, é importante alertar as empresas que ainda não realizaram a adequação de seus processos internos para cumprir as regras de segurança e privacidade de dados previstas na LGPD, especialmente a elaboração ou revisão do seu Plano de Resposta a Incidentes, a fim de adequá-lo a este novo Regulamento. 

Para saber mais, acesse o Regulamento na íntegra no site da ANPD: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024.

1 Empresas que possuem o poder de decisão sobre os processos de tratamento de dados.