Novas Orientações da ANPD sobre Comunicados de Incidentes de Segurança da Informação
A Autoridade Nacional de Proteção de Dados (ANPD) publicou nova orientação acerca de comunicados de incidente de segurança da informação, necessários sempre que o incidente seja capaz de causar riscos ou danos relevantes aos titulares.
Em síntese, estas foram as novas atualizações:
- Foi disponibilizado um novo formulário para Comunicados de Incidentes de Segurança (CIS), que deve ser utilizado a partir de 1º de janeiro de 2023.
- Foi confirmado que a obrigação de comunicação de notificação de incidentes diretamente à ANPD cabe apenas aos controladores, retirando qualquer dúvida de que tal obrigação poderia recair sobre os operadores, que devem, porém, sempre comunicar os incidentes aos seus controladores. Nesse ponto, houve, inclusive, a recomendação de que tais deveres estejam previstos em contratos firmados entre as partes.
- A notificação deve ser feita pelo(a) encarregado(a) da companhia afetada ou por um representante, que deve demonstrar os seus poderes por meio de procuração e documentos societários apropriados.
- A comunicação deve ser protocolada digitalmente via site do Sistema Único de Processo Eletrônico em Rede.
- Foi confirmado que o prazo para comunicação de incidentes de segurança à ANPD e titulares deverá ser de dois dias úteis contados a partir da ciência do evento.
- Apenas incidentes confirmados internamente precisam ser notificados, ou seja, a mera suspeita de um incidente não é notificável.
- A ANPD indicou critérios específicos que devem ser considerados pelos controladores na avaliação de risco ou dano relevante aos titulares:
(i) o contexto da atividade de tratamento de dados;
(ii) as categorias e quantidades de titulares afetados;
(iii) os tipos e quantidade de dados violados;
(iv) os potenciais danos materiais, morais, reputacionais causados aos titulares;
(v) se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;
(vi) as medidas de mitigação adotadas pelo controlador após o incidente.
- A impossibilidade de realizar a comunicação completa do incidente em dois dias úteis deve ser devidamente justificada pelo controlador. A complementação deverá ser encaminhada o mais breve possível e, no mais tardar, em 30 dias corridos contados da comunicação inicial (preliminar).
- A comunicação aos titulares:
(i) deve ser feita via de regra individual e diretamente aos titulares afetados;
(ii) pode ser enviada por quaisquer meios (e-mail, SMS, carta ou mensagem eletrônica);
(iii) se não for possível individualizar os afetados, deve ser feita uma comunicação geral para todos os titulares que tenham dados pessoais na base de dados afetada;
(iv) excepcionalmente, e de forma justificada, pode ser feita a comunicação indireta por meio de publicação em meios de comunicação, capaz de alcançar o maior número possível de titulares;
(v) não é necessário enviar à ANPD a lista de titulares afetados ou seus dados de contato para comprovação da notificação.
- O comunicado aos titulares deverá conter, no mínimo:
(i) resumo e data da ocorrência do incidente;
(ii) descrição dos dados pessoais afetados;
(iii) riscos e consequências aos titulares de dados;
(iv) medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
(v) dados de contato do encarregado do controlador para que os titulares possam solicitar informações adicionais a respeito do incidente.
- Após a notificação à ANPD, em sede de processo administrativo, ela avaliará a gravidade do incidente e poderá, ainda, determinar que o controlador envie a comunicação aos titulares, se não tiver sido realizada ainda; modifique a comunicação aos indivíduos afetados; divulgue amplamente o incidente ou adote medidas adicionais para mitigação dos efeitos do incidente. Por fim, a ANPD avaliará se houve violação à LGPD e, se cabível, aplicará as sanções previstas no art. 52 da referida legislação.