A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta sexta-feira, 26, no Diário Oficial da União (DOU), a Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS). Uma das novidades das regras é que o controlador deve comunicar os incidentes de segurança aos titulares dos dados no prazo de três dias úteis, a partir do conhecimento da ocorrência.
Segundo o órgão, a resolução tem o objetivo de mitigar ou reverter prejuízos gerados por incidentes; de assegurar a responsabilização e a prestação de contas; de promover a adoção de boas práticas de governança, prevenção e segurança; e de fortalecer a cultura de proteção de dados pessoais no País.
O RCIS prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.
A comunicação de incidente de segurança deve informar, além da data do conhecimento do incidente e o contato para obtenção de informações, o seguinte:
- – a descrição da natureza e da categoria de dados pessoais afetados;
- – as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- – os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
- – os motivos da demora, no caso de a comunicação não ter sido feita no prazo do caput deste artigo; e
- – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
Essa comunicação do controlador deve ser feita em linguagem simples e de fácil entendimento, e ocorrer de forma direta e individualizada, caso seja possível indentificar o titular do dado. O normativo traz, também, a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.
Além disso, o incidente deve ser amplamente divulgado em meio físico ou digital, considerada sempre a necessidade de se atingir o maior número possível de titulares afetados.
Segundo a ANPD, a aprovação e publicação do Regulamento de Comunicação de Incidente de Segurança fortalece a proteção dos direitos dos titulares, "por ser um catalisador na efetivação dos princípios gerais de proteção estabelecidos na LGPD, em especial o princípio da transparência, haja vista a necessidade de prestação de informações claras aos titulares cujos dados pessoais foram objeto de incidente", explica a entidade.
