Informativos

Com a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) e os avanços na regulamentação promovidos pela ANPD (Autoridade Nacional de Proteção de Dados), as organizações passaram a ter obrigações claras quanto ao tratamento de dados pessoais.

Entre essas obrigações, destaca-se a comunicação de incidentes de segurança, que é uma medida essencial para a proteção dos direitos dos titulares e a manutenção da confiança nas relações digitais.

O que é um incidente de segurança?

Um incidente de segurança é caracterizado por qualquer situação adversa, real ou suspeita, que comprometa a integridade, a confidencialidade ou a disponibilidade de dados pessoais sob a responsabilidade de uma organização.

Tais incidentes podem ocorrer de diferentes formas, seja por falhas técnicas, erros humanos ou por ação maliciosa de terceiros, e têm o potencial de gerar sérios impactos à privacidade e aos direitos dos titulares dos dados.

Entre os exemplos mais comuns de incidentes de segurança estão o vazamento de informações, em que dados pessoais são expostos ou divulgados indevidamente para pessoas não autorizadas; o acesso não autorizado, quando alguém obtém acesso a dados ou sistemas sem permissão, o que pode ocorrer tanto por falhas de segurança quanto por invasões deliberadas; e a perda ou destruição acidental de dados, muitas vezes causada por problemas técnicos, falhas em backups ou até por erro humano.

Outro tipo de incidente relevante é o sequestro de informações por ransomware, em que um software malicioso invade os sistemas da organização, criptografa os dados e exige o pagamento de resgate para devolvê-los; e ainda, há também o uso indevido ou o compartilhamento indevido de dados pessoais, seja por funcionários da própria organização ou por parceiros e fornecedores, sem o devido respaldo legal ou contratual.

Independentemente da forma como ocorrem, todos estes incidentes podem afetar diretamente os titulares dos dados, expondo-os a riscos como fraudes, extorsão, danos morais ou materiais, discriminação, e até mesmo comprometer direitos fundamentais como o acesso à saúde, crédito ou justiça.

Portanto, é essencial que empresas e organizações estejam preparadas para detectar, responder e, quando necessário, comunicar esses incidentes às autoridades competentes e aos próprios titulares, conforme determina a LGPD.

O que diz a Resolução CD/ANPD nº 15/2024?

A Resolução CD/ANPD nº 15/2024 estabelece as diretrizes detalhadas sobre como os agentes de tratamento de dados pessoais devem proceder em caso de incidentes de segurança que envolvam dados pessoais.

Essa regulamentação busca garantir a transparência, a proteção dos direitos dos titulares de dados e o cumprimento da LGPD.

Quando a comunicação é obrigatória?

De acordo com a Resolução CD/ANPD nº 15/2024, a comunicação de incidentes de segurança à ANPD e aos titulares dos dados é obrigatória quando o incidente representar risco relevante ou dano significativo aos direitos fundamentais dos titulares de dados pessoais, ou seja, sempre que a segurança dos dados pessoais estiver comprometida de forma que possa causar impactos substanciais nas liberdades e direitos dos indivíduos, a comunicação deve ser realizada de forma imediata.

São considerados relevantes os incidentes que:

- Comprometam dados pessoais sensíveis;

- Envolvam dados de crianças, adolescentes ou idosos;

- Tenham potencial de causar danos materiais ou morais aos titulares, como: discriminação; fraudes financeiras; violação à intimidade, reputação ou imagem; exposição a situações de risco ou constrangimento; prejuízo ao exercício de direitos (como acesso à saúde, educação, crédito etc.);

- Envolvam dados em larga escala;

- Sejam de difícil reversão ou causem prejuízo significativo ao titular;

- Atingem dados sob sigilo legal, judicial ou profissional;

- Possuam impacto transfronteiriço (atingindo titulares fora do Brasil ou envolvendo compartilhamento internacional de dados).

Prazos para comunicação

A comunicação de um incidente de segurança deve ocorrer de maneira ágil e dentro dos prazos estipulados pela legislação, devendo ser feita:

- À ANPD: em até 3 dias úteis contados a partir do momento em que o controlador tiver ciência do incidente.

- Para agentes de tratamento de pequeno porte (como microempresas, MEIs e startups), esse prazo é de 6 dias úteis.

- Aos titulares de dados afetados: dentro do mesmo prazo, utilizando linguagem clara, acessível e objetiva.

Se o controlador ainda não possuir todas as informações no momento da comunicação inicial, poderá enviá-las de forma complementar, no prazo de até 20 dias úteis.

Estes prazos são essenciais para garantir uma resposta rápida, proteção dos dados pessoais e mitigação dos riscos envolvidos.

Como comunicar?

A comunicação à ANPD deve ser efetuada por meio da Plataforma Gov.br, acessível através seguinte link: https://www.gov.br/pt-br/servicos/abrir-requerimento-relacionado-a-lgpd](https://www.gov.br/pt-br/servicos/abrir-requerimento-relacionado-a-lgpd).

Não obstante, comunicação à ANPD precisa conter informações detalhadas sobre o incidente e as ações tomadas.

Entre os dados essenciais, deve-se conter: identificação do agente de tratamento; descrição do incidente; consequências do incidente (identificação de riscos para os titulares); medidas adotadas; informações transfronteiriças (caso o incidente envolva dados de titulares fora do Brasil); e ainda, detalhes adicionais que possam ajudar na compreensão do incidente devem ser incluídos.

Ademais, o controlador deve informar os titulares dos dados diretamente, sempre que possível, utilizando: e-mail, mensagem de celular, correspondência física ou chamadas telefônicas.

Caso a comunicação direta não seja viável, é possível fazer um aviso público no site da empresa ou em redes sociais, com a informação disponibilizada por pelo menos 3 meses.

A linguagem usada deve ser clara, simples e objetiva, informando: o que aconteceu, quais dados foram afetados, quais são as possíveis consequências para os titulares, o que está sendo feito para mitigar os danos, e como os titulares podem se proteger.

Essa comunicação rápida e eficiente é crucial para garantir a transparência e proteger os direitos dos titulares de dados.

Registro dos incidentes

É obrigatório que todos os incidentes de segurança, incluindo aqueles que não necessitaram ser comunicados à ANPD por não atenderem aos critérios legais, sejam registrados internamente pelo controlador por um período mínimo de 5 anos.

Este registro é fundamental para demonstrar a diligência da organização e poderá ser solicitado pela ANPD durante eventuais auditorias ou fiscalizações.

O registro deve conter a data em que o incidente foi identificado, os tipos de dados afetados, justificativa (caso o incidente não tenha sido comunicado à ANPD) e ações e medidas tomadas em resposta ao incidente.

Manter processos bem definidos, uma equipe preparada e sistemas de monitoramento e resposta a incidentes é o caminho para uma gestão segura, ética e em conformidade com a LGPD.

Em caso de maiores dúvidas, consulte um profissional da área ou seu advogado de confiança.