Caio Lima, sócio-fundador do VLK Advogados
A governança ética em proteção de dados, de acordo com especialista, é um mecanismo que pode ser utilizado como forma de responder rapidamente ao incidente de segurança e mitigar riscos para os titulares de dados e para as organizações
A Autoridade Nacional de Proteção de Dados (ANPD) aprovou no dia 26 de abril o Regulamento de Comunicação de Incidente de Segurança (RCIS), que detalha os procedimentos e responsabilidades dos agentes de tratamento.
A norma prevê, por exemplo, prazo de três dias úteis para os controladores – prazo contado em dobro para os agentes de pequeno porte. E, como regra geral, o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
“Essa resolução traz várias obrigações de comunicação e prazos importantes. A governança ética em proteção de dados é um mecanismo que pode ser utilizado como forma de responder rapidamente ao incidente de segurança e mitigar riscos para os titulares de dados e para as organizações”, nota Caio Lima, sócio-fundador do VLK Advogados.
“O momento agora é de revisitar o plano de resposta a incidentes, de verificar como é que a empresa está na realização de simulação de incidentes de segurança de informação, como é que a companhia está em relação à avaliação dos terceiros para garantir que a organização com quem ela trafega dados pessoais tenha o mesmo nível de segurança, privacidade e proteção de dados. Também é preciso atualizar o mapeamento, garantir a nomeação do encarregado e a formalização da sua nomeação”, complementa o especialista.
De acordo com o segundo Relatório de Ciclo de Monitoramento (RCM) da ANPD, houve 163 Comunicações de Incidentes de Segurança (CIS) no primeiro semestre de 2023, um aumento de 15,6% em relação aos 141 do primeiro semestre de 2022. Assim como em 2022, os casos de ramsomware (sequestro de dados) foram a principal causa das CIS.
Em vista deste cenário, o VLK Advogados selecionou 12 principais pontos de atenção:
1) Quem deve comunicar?
O controlador, por meio de representante legal ou do Encarregado, nas situações de incidente de segurança da informação confirmado, em que houver risco ou dano relevante aos titulares. Essa comunicação à ANPD, quando feita pelo Encarregado, deverá demonstrar a existência de vínculo contratual, empregatício ou funcional. Se por meio de representante legal, mediante procuração – a documentação comprobatória deve ser apresentada.
2) O que representa risco ou dano relevante?
O incidente será assim considerado quando afetar significativamente direitos fundamentais (impedir o uso de um serviço; causar discriminação, violação à integridade física ou à imagem; ou fraude financeira) e contiver dados: sensíveis; de crianças, adolescentes ou idosos; financeiros; de credenciais de acesso ou de confirmação da identidade; protegidos por sigilo legal, judicial ou profissional; ou em larga escala (importante observar a consulta pública que está aberta neste momento sobre esse tema). É fundamental que as organizações tenham metodologia fundamentada para calcular o risco que o incidente pode representar, documentando o resultado.
3) Qual o prazo de comunicação?
Três dias úteis, contados da data em que se confirmou que o incidente afetou dados pessoais. No caso de comunicação preliminar, as informações complementares deverão ser apresentadas em até 20 dias úteis.
4) O que deve conter o comunicado?
Descrição da natureza e categoria dos dados afetados; número de titulares afetados (especificando os vulneráveis); medidas técnicas de segurança utilizadas (antes, durante e após o incidente); riscos do incidente; data da ocorrência; dados do Encarregado; identificação do controlador e do operador; descrição do incidente e causa principal, entre outros itens.
5) Quais documentos a ANPD pode solicitar?
Além dos documentos comprobatórios acima, a ANPD poderá requisitar: mapeamento das atividades de tratamento de dados; relatório de impacto à proteção de dados pessoais e o relatório de tratamento do incidente.
6) Precisa de relatório técnico?
Além da documentação interna sobre a apuração da gravidade do incidente (cálculo de risco), a ANPD determina a elaboração de Relatório Técnico contendo todas as informações apresentadas no tópico quatro acima. O Relatório deve ser armazenado pelo período mínimo de cinco anos, mesmo que o incidente não seja comunicado à ANPD e aos titulares.
7) Análise agregada
A ANPD poderá fazer a análise dos incidentes comunicados de forma agregada, ou seja, não específica, com providências padronizadas, conforme os planejamentos da Autoridade para a fiscalização.
8) Determinações da ANPD
Após receber a CIS, a ANPD poderá determinar a ampla divulgação do incidente às expensas do controlador (que não se confunde com a sanção de publicização); e medidas para reverter ou mitigar os efeitos do incidente.
9) Manifestação do controlador
A ANPD poderá determinar a adoção de medidas imediatas de prevenção, mesmo sem a manifestação do controlador.
10) Sanções
A ANPD poderá instaurar processo administrativo sancionador, caso o controlador não adote as medidas determinadas pela Autoridade.
11) Extinção do processo de CIS
O processo será declarado extinto pela ANPD quando: não houver evidências suficientes da ocorrência do incidente; se a Autoridade entender que não pode causar risco ou dano relevante; o incidente não envolver dados pessoais; se tiverem sido tomadas as medidas de mitigação e reversão; ou se os titulares tiverem sido comunicados e todas as providências necessárias tiverem sido realizadas.
12) Outras obrigações regulatórias
As demais obrigações setoriais precisarão ser cumpridas cumulativamente a essa Resolução da ANPD (Anatel, Banco Central, CVM, Susep, entre outros), especialmente em relação à comunicação aos reguladores, conteúdo e prazos, obrigações de medidas de segurança, entre outros.