A Autoridade Nacional de Proteção de Dados (ANPD) atualizou, no dia 23 de dezembro, as orientações sobre as Comunicações de Incidentes de Segurança (CIS), com a ressalva de que deverão ser realizadas exclusivamente pelos controladores de dados pessoais mediante o preenchimento do novo formulário disponibilizado na página da autarquia. Em linhas gerais, há destaque para a necessidade de os contratos entre controladores e operadores diretamente disporem sobre essas obrigações e responsabilidades.
PRAZOS
Foi mantida a recomendação para que a comunicação seja realizada no prazo de 2 dias úteis após a ciência do incidente pelo controlador, com o destaque de que a demora injustificada poderá sujeitar os agentes às sanções administrativas previstas na LGPD.
Ainda sobre prazos, a ANPD formalizou o que já vinha praticando para realização da comunicação complementar – necessária para o cumprimento da obrigação estabelecida pelo art. 48 da LGPD – determinando que essa deverá ser realizada em 30 dias corridos, contados da comunicação preliminar.
Nesse ponto, tudo deve ser devidamente documentado, a fim de que se consiga demonstrar para a autoridade a linha do tempo do incidente, caso seja necessário futuramente.
AVALIAÇÃO DE RISCO AOS TITULARES
A ANPD determina que o controlador deverá avaliar as potenciais consequências do incidente aos titulares impactados, considerando a probabilidade de ocorrência de danos significativos; superáveis; ou irreversíveis.
Além de citar aspectos específicos que deverão ser considerados na avaliação de risco (com destaque à confirmação se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares), a ANPD elenca a necessidade de especial atenção à probabilidade de ocorrência de danos aos titulares, sejam eles moral, reputacional ou material, bem como o risco à prática de discriminação social, fraude, restrições de direitos, violação à integridade física, em razão do incidente de segurança.
As companhias devem dispor, portanto, de metodologia para determinar o risco do incidente, em consonância com essas novas obrigações trazidas pela ANPD.
COMUNICAÇÃO AOS TITULARES
Em se identificando a ocorrência de risco ou dano relevante, a Autoridade também dispôs sobre os requisitos que deverão ser considerados na comunicação aos titulares, que poderá ser realizada por quaisquer meios (incluindo e-mail, SMS, carta ou mensagem eletrônica).
Entre os dados obrigatórios, devem-se incluir: i) resumo e data de ocorrência do incidente; ii) tipos de dados pessoais afetados; iii) riscos e consequências aos titulares de dados; iv) medidas tomadas e recomendadas para mitigar os efeitos do incidente, se cabíveis; e v) dados para contato com o controlador.
A cópia da comunicação poderá ser requisitada pela Autoridade a qualquer momento para fins de fiscalização e verificação do respeito aos requisitos pré-definidos, sendo que, caso não tenham sido observados, a comunicação deverá ser retificada.
A comunicação deve ser realizada com bastante atenção e de maneira completa, a fim de evitar retrabalho e agravamento de eventual sanção que possa ser imposta pela ANPD.
DADOS E DOCUMENTOS OBRIGATÓRIOS NO FORMULÁRIO
Nesse novo formulário há maior atenção da ANPD com as causas e as consequências do incidente, sendo agora obrigatório o fornecimento de detalhes técnicos sobre o que aconteceu, as medidas de segurança técnicas e administrativas adotadas (antes e após o incidente) e eventuais impactos na confidencialidade, integridade e disponibilidade dos dados.
A ANPD passa também a requisitar a juntada do documento de nomeação do Encarregado e a indicação do número aproximado de titulares cujos dados são tratados pelo controlador, independentemente se afetados ou não pelo incidente.
O acompanhamento de time de forense fica ainda mais relevante, diante dessa necessidade de apresentação de aspectos técnicos mais detalhados.
OUTRAS AUTORIDADES
A ANPD requisita a indicação de eventual comunicação realizada para outras autoridades sobre o incidente de segurança, bem como se as atividades de tratamento de dados afetados estão submetidas a regulações de segurança setoriais.
Setores regulados, portanto, precisam observar o que dispõe a regulamentação específica, inclusive analisando obrigações transfronteiriças, com outras Autoridades de proteção de dados estrangeiras.