Introdução


A discussão sobre segurança de dados pessoais no Brasil começou em meados de 2018, ano em que foi publicada a Lei Geral de Proteção de Dados (LGPD) brasileira. A LGPD foi inspirada no Regulamento Geral de Proteção de Dados (GDPR), a legislação pioneira de proteção de dados da União Europeia.


Tanto a legislação brasileira quanto a europeia têm uma estrutura muito semelhante e visam o mesmo objetivo: determinar como as empresas e organizações devem tratar os dados pessoais. Ou seja, como devem coletar, processar, compartilhar e utilizar informações de terceiros.


Da mesma forma que o GPDR introduziu o Conselho Geral Europeu de Proteção de Dados (EDPB), a LGPD introduziu a Autoridade Nacional de Proteção de Dados (ANPD) como órgão administrativo público responsável por garantir, implementar e monitorar o cumprimento da lei em todo o país.


A obrigação de comunicar a ocorrência de incidente de segurança à ANPD e aos titulares dos dados está prevista no artigo 48 [1] da LGPD. Contudo, o artigo 48 da LGPD foi omisso quanto ao procedimento e prazos de comunicação.


Para implementar as disposições da LGPD de forma prática, em 26 de abril de 2024 a ANPD publicou a Resolução nº 15/2024 (a ‘Resolução’) que aprovou o Regulamento de Comunicação de Incidentes de Segurança.


Regulamento de Comunicação de Incidentes de Segurança


Inicialmente, a Resolução define o termo ‘incidente de segurança’ como qualquer evento adverso confirmado relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.


O incidente de segurança só é elegível para comunicação quando afeta os interesses e direitos fundamentais dos titulares dos dados e envolve necessariamente pelo menos um dos seguintes tipos de dados:


  1. dados pessoais sensíveis;
  2. dados de crianças, adolescentes ou idosos;
  3. dados financeiros;
  4. dados de autenticação do sistema (credenciais);
  5. dados protegidos por segredo legal, judicial ou profissional; ou
  6. dados em grande escala.


Caso o incidente de segurança seja confirmado como passível de gerar risco ou dano significativo aos titulares dos dados, o controlador deverá notificar a ANPD, por meio eletrônico, no prazo de três dias úteis a contar da data de tomar conhecimento do incidente. A comunicação poderá ser complementada, com fundamentação, no prazo de 20 dias úteis a contar da data da primeira comunicação.

Um dos pontos mais importantes abordados na Resolução diz respeito ao conteúdo da comunicação, que deve indicar informações importantes sobre o incidente, tais como:


  • a natureza e categoria dos dados pessoais afetados;
  • o número de titulares de dados afetados;
  • medidas técnicas e de segurança utilizadas para proteção de dados pessoais, adotadas antes e depois do incidente;
  • riscos e possíveis impactos nos titulares dos dados;
  • medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares dos dados;
  • a data em que ocorreu o incidente, quando possível, e a data em que o responsável pelo tratamento tomou conhecimento do mesmo;
  • uma descrição do incidente, incluindo a causa raiz, se esta puder ser identificada; e
  • o número total de titulares de dados cujos dados são processados ​​nas atividades de processamento afetadas.


A comunicação do incidente de segurança também será feita aos titulares dos dados, preferencialmente de forma direta e individualizada (telefone, e-mail, mensagem eletrônica ou carta), em linguagem simples e de fácil compreensão, incluindo, além das informações acima mencionado, o contacto para obter informações e os dados de contacto do responsável.

Além disso, a ANPD tornou obrigatória a elaboração de relatório de gerenciamento de incidentes, que pode ser solicitado a qualquer momento, bem como a manutenção de registro de todos os incidentes de segurança, reportados ou não à ANPD e/ou aos titulares dos dados, por um período mínimo de cinco anos.


Iniciado o processo administrativo, a ANPD poderá, a qualquer tempo, realizar fiscalizações e solicitar diligências adicionais ao agente de movimentação, bem como definir a adoção de medidas preventivas por parte do controlador e aplicar multa diária para garantir o cumprimento.


A Resolução permite que a ANPD inicie procedimentos de investigação de incidentes de segurança por sua própria iniciativa quando tiver conhecimento de incidentes de segurança não reportados pelo controlador, podendo também fazer solicitações formais ao controlador investigado.


Da mesma forma, a falta de cooperação com a ANPD ou a confirmação da existência de um incidente de segurança não reportado, poderá levar à abertura de um procedimento administrativo sancionador, já regulamentado em resolução pré-existente [2] .


Aspectos positivos do Regulamento de Comunicação de Incidentes de Segurança


A Resolução é clara e detalhada, introduzindo definições precisas e procedimentos específicos que facilitam o cumprimento pelos agentes de tratamento de dados. Este nível de detalhe é essencial para garantir que todas as partes envolvidas compreendam as suas responsabilidades e as ações necessárias no caso de um incidente de segurança.


Exigir que os responsáveis ​​pelo tratamento mantenham registos detalhados e adoptem medidas de mitigação reforça o princípio da responsabilização, de modo a incentivar os responsáveis ​​pelo tratamento a adoptarem uma abordagem proactiva à segurança dos dados.


Além disso, a Resolução incentiva a adoção de boas práticas de governança e segurança, que podem levar a um ambiente de processamento de dados mais seguro e confiável, cenário crucial para o desenvolvimento de uma cultura de proteção de dados no Brasil.


Aspectos negativos do Regulamento de Comunicação de Incidentes de Segurança


O prazo de três dias úteis para notificação de incidentes à ANPD e aos titulares dos dados pode ser considerado curto, especialmente para pequenas empresas ou organizações com recursos limitados, de modo que a pressão para cumprir esse prazo pode resultar em relatórios incompletos ou inadequados.


Nesse sentido, os requisitos detalhados e os procedimentos complexos podem representar um desafio significativo para as pequenas empresas. A necessidade de recursos técnicos e administrativos para cumprimento da resolução pode ser onerosa para estes agentes de tratamento de dados e a eficácia das medidas de resposta a incidentes pode variar dependendo da capacidade técnica e dos recursos disponíveis dos controladores. As organizações mais pequenas podem ter dificuldade em implementar rapidamente as medidas necessárias para mitigar os danos.


Por fim, monitorar o cumprimento da resolução pelos agentes de tratamento de dados representa um desafio considerável para a ANPD. Garantir que todos os agentes, especialmente os pequenos, cumpram os padrões estabelecidos exigirá recursos e esforços significativos.


Comparando o GDPR e a LGPD


Ao comparar a Resolução da ANPD com as disposições do GDPR, podem ser observadas uma série de semelhanças e diferenças.


Ambas as regulamentações enfatizam a proteção dos direitos dos titulares dos dados, a transparência e a responsabilização dos agentes de tratamento de dados e exigem a comunicação de incidentes de segurança em prazos curtos, com procedimentos detalhados para mitigar os danos.


Porém, embora o GDPR ofereça algumas flexibilidades em termos de prazos e procedimentos para pequenas empresas, a Resolução é mais rigorosa em relação aos prazos de comunicação. Além disso, o GDPR é mais detalhado em termos de requisitos de documentação e avaliação de impacto na proteção de dados.


A nova Resolução representa um passo importante na implementação da proteção de dados no Brasil. Oferece um quadro claro e detalhado para a comunicação de incidentes de segurança, promovendo a proteção dos direitos dos titulares dos dados e a responsabilidade dos responsáveis ​​pelo tratamento dos dados. No entanto, a Resolução introduz desafios, especialmente para as pequenas empresas, na sua implementação e cumprimento.


Ajustes nos prazos e simplificação das exigências, aliados a um maior apoio da ANPD, poderiam melhorar a eficácia da resolução e garantir uma proteção de dados mais robusta no Brasil.


[1] O controlador deve comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa gerar risco ou dano relevante aos titulares dos dados.


[2] Resolução CD/ANPD nº 1, de 28 de outubro de 2021.