A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 26 de abril de 2024, no Diário Oficial da União (DOU), a Resolução n° 15/2024, que regulamenta a comunicação de incidentes de segurança com dados pessoais.
Em primeiro lugar, temos que conceituar o que é incidente de segurança com dados pessoais e esse conceito está no artigo 46, da Lei Geral de Proteção de Dados: “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Mas nem todo incidente precisa ser informado à ANPD, apenas aqueles que tenham potencial de causar prejuízo ao titular, ou seja, possa acarretar risco ou dano relevante aos titulares.
O conceito de risco relevante é muito subjetivo então foi definido pela ANPD, portanto, temos uma regulamentação que traz, em seu artigo 5°, parâmetros do que pode ser considerado risco relevante, ou seja, incidentes que contenham:
“I - dados pessoais sensíveis;
II - dados de crianças, de adolescentes ou de idosos;
III - dados financeiros;
IV - dados de autenticação em sistemas;
V - dados protegidos por sigilo legal, judicial ou profissional; ou
VI - dados em larga escala.
§ 1º O incidente de segurança que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
§ 2º Considera-se incidente com dados em larga escala aquele que abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.”
Em um primeiro momento, parece que ajudou, mas ainda não.
O conceito de larga escala contínua genérico, ou seja, “um número significativo” é muito subjetivo, por isso a ANPD está buscando subsídios para criar uma regulamentação que venha definir o que é larga escala.
Mas o que mais chamou a atenção em toda a Resolução n° 15/2024 foi o curtíssimo prazo para comunicação do incidente de segurança.
A ANPD fixou o prazo de três dias para comunicação do incidente de segurança.
Esse prazo é contado em dias úteis, mesmo assim, é pouquíssimo tempo, tendo em vista a quantidade de informações que devem ser dadas à ANPD cujo rol está no artigo 48, §1°, da LGPD:
“§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.”
Quando pensamos em vazamentos ou incidentes em larga escala, em três dias não há condições mínimas de obter todas essas informações acima.
Em audiência pública realizada em 23 de maio de 2023 foi proposto o prazo de dois dias para comunicação do incidente e mais 15 dias para complemento das informações exigidas pelo artigo 48, §1°, da Lei Geral de Proteção de Dados (LGPD) , que seria mais crível de ser cumprida.
A sociedade tinha a expectativa que a ANPD atenderia essa solicitação que era mais razoável, todavia não atendeu, colocando as empresas em uma situação muito difícil, principalmente porque aumentou o rol do que considerou incidente com risco relevante ao titular.
Outra ponderação importante em relação ao texto da Resolução n° 15/2024 é: o texto final publicado não tem nada a ver com a minuta que foi posta em discussão, o que torna a audiência pública, apenas um ato “pro form” ou em uma linguagem popular: “pra inglês ver”, vez que o texto final é completamente diverso daquele discutido com a sociedade, o que, a meu ver, torna a norma nula, pois não foi discutida com a sociedade, como a própria LGPD determina. Discutiu-se um texto e publicou-se outro completamente diferente.
E você, contador, o que achou do prazo de três dias para informar tantos detalhes sobre um incidente de segurança?
Para ter acesso ao texto completo acesse diretamente no site da ANPD.
E como fazer a comunicação? Através do SEI – Sistema Eletrônico de Informação da ANPD, para tanto é necessário fazer um cadastro neste link.
Já deixe seu cadastro pronto, porque há demora na aprovação dele, o que pode gerar atraso na comunicação do incidente de segurança.
