Alteração do Regulamento de Segurança Cibernética da ANATEL – Notificação de Incidentes e Avaliação Prévia de Fornecedores

A Agência Nacional de Telecomunicações (ANATEL) alterou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (“R-Ciber”) em dois pontos essenciais pela perspectiva de segurança da informação e proteção de dados, que são as ampliações da obrigação de notificação de incidentes de segurança da informação e dos aspectos de segurança cibernética de fornecedores a serem avaliados pelas prestadoras de serviços de telecomunicações.

As novas regras constam da Resolução nº 767 de agosto de 2024 (“Resolução”), que alterou a Resolução nº 740 de 2020, denominada R-Ciber. As alterações entrarão em vigor em 2 de setembro de 2024, quando as políticas internas dos prestadores de serviços de telecomunicações deverão estar modificadas.

1. Ampliação da obrigação de notificação de incidentes de segurança da informação à ANATEL

A R-Ciber prevê a obrigação de notificação à ANATEL de incidentes relevantes e que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários. A definição de incidente na R-Ciber é específica e inclui evento que permita ou possa permitir alguma violação a confidencialidade, disponibilidade ou integridade de informação protegida, ou também que envolva ativo de informação crítica ou atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

No caso, a Resolução ampliou essa obrigação, obrigando agora os prestadores de serviço de telecomunicações, independentemente do porte, a notificarem a ANATEL de incidentes que devem também ser notificados à Autoridade Nacional de Proteção de Dados (“ANPD”) – veja-se que basta que seja igualmente exigida a comunicação à ANPD, não sendo necessária que haja efetivamente uma prévia notificação segundo a LGPD.

O gatilho para notificação à ANPD está previsto no art. 48 da LGPD, se relacionando a qualquer incidente que possa acarretar risco ou dano relevante aos titulares. Para a ANPD, incidente seria qualquer evento adverso confirmado, que possa afetar confidencialidade, integridade, disponibilidade e autenticidade¹. Ou seja, os gatilhos da notificação para a ANATEL são mais restritos e específicos. Verifica-se, portanto, que potencialmente incidentes que seriam notificáveis apenas à ANPD terão que ser agora também notificados à ANATEL.

2. Ampliação dos aspectos de segurança cibernética de fornecedores a serem avaliados pela prestadoras de serviços de telecomunicações

Quanto ao segundo ponto, a R-Ciber já obrigava em seu art. 7º a avaliação prévia de fornecedores quanto à compatibilidade de suas políticas de segurança cibernética com relação aos princípios e diretrizes da R-Ciber, bem como a realização periódica de processos de auditoria independente. O processo de avaliação deve ser documentado e apresentado à ANATEL sempre que requisitado.

A Resolução então aprofundou essa obrigação de avaliação prévia com relação a prestadores de serviços de processamento e armazenamento de dados e de computação em nuvem – seguindo, por exemplo, a regulação do Banco Central do Brasil². No caso, devem ser avaliados aspectos como, por exemplo, os controles adotados por esses terceiros para a mitigação de riscos, abrangendo funções críticas da rede e o tratamento de dados pessoais. Ou seja, necessária a avaliação inclusive da conformidade desses terceiros com o framework da LGPD e da ANPD.

¹ Art. 3º da Resolução CD/ANPD nº 15, de 24 de abril de 2024.

² Resolução CMN Nº 4.893, de 26 de fevereiro de 2021 e Resolução BCB Nº 85, de 8 de abril de 2021.