ANPD marca audiência pública sobre comunicação de incidentes

A Autoridade Nacional de Proteção de Dados (ANPD) marcou para 23 de maio a data da audiência pública para debater a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais.

O Regulamento de Comunicação está entre as exigências previstas na Lei 13.709/18 (Lei Geral de Proteção de Dados (LGPD)) e deve obrigar o controlador de dados a informar à autarquia e ao titular dos dados, em caso de risco e dano aos atingidos pelo vazamento.

Imagem: Gorodenkoff/GreenTech/Shuttterstock.com

Para se inscrever no debate oral, os interessados em participar com comentários e sugestões devem preencher o formulário da ANPD, entre 4 e 12 de maio de 2023.

A sessão, que é aberta ao público geral, vai ser transmitida na terça-feira (23) via canal da ANPD no YouTube.

Consulta pública sobre minuta sobre Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais

Na terça-feira (2), a ANPD abriu uma consulta pública sobre a minuta desta resolução, que prevê a comunicação dos incidentes até três dias — contados a partir do conhecimento do controlador de dados — à autarquia e ao titular dos dados afetado.

Além disso, o documento descreve os casos em que a ANPD vai enquadrar a obrigatoriedade da comunicação. De acordo com o órgão, quando o houver potencial de afetar significativamente interesses e direitos fundamentais dos titulares, os quais possam impedir ou limitar o exercício de direitos ou a utilização de um serviço ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade; e envolver pelo menos um dos seguintes critérios:

1. dados sensíveis;
2. dados de crianças, de adolescentes ou de idosos;
3. dados financeiros;
4. dados de autenticação em sistemas;
5. dados em larga escala.

Quanto aos incidentes de “larga escala”, a proposta indica que serão considerados os que “abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares

Para o registro do incidente, será solicitado, no mínimo, data de conhecimento, descrição geral, natureza e categoria dos dados afetados, número de titulares afetados, avaliação de risco sobre os possíveis danos aos titulares, medidas de mitigação e correção dos efeitos, além de informações sobre a comunicação.

Tal comunicação deverá ser realizada por formulário eletrônico disponibilizado pela ANPD, o qual incluirá 13 tipos de informações:

I – a descrição da natureza e da categoria de dados pessoais afetados;

II – o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III – as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;

IV – os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V – os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII – a data e a hora do conhecimento do incidente de segurança;

VIII – os dados do encarregado, quando aplicável, ou do comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;

IX – os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;

X – as informações sobre o operador, quando aplicável;

XI – a declaração de que foi realizada a comunicação aos titulares, nos termos do art. 10 deste Regulamento;

XII – a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

XIII – o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.

Quanto à comunicação ao titular dos dados pessoais, as informações devem fazer uso de linguagem simples e de fácil entendimento e, se possível, ocorrer de forma direta e individualizada. E devem trazer as seguintes informações:

I – a descrição da natureza e da categoria de dados pessoais afetados;

II – os riscos ou impactos ao titular;

III – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

IV – a data do conhecimento do incidente de segurança; e

V – o contato para obtenção de informações e dados do encarregado, quando aplicável.

A consulta vai receber contribuições até 31 de maio, por meio da plataforma Participa Mais Brasil.

Via Convergência Digital