12 ago ANPD regula comunicação de incidentes de segurança
A Autoridade Nacional de Proteção de Dados – ANPD regulou os procedimentos que devem ser adotados pelas empresas para comunicação de incidentes de segurança.
A Lei Geral de Proteção de Dados obriga os controladores de dados pessoais a comunicar à ANPD e aos titulares de dados pessoais a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
A ANPD esclareceu melhor essas regras, prevendo que haverá risco ou dano relevante quando estiverem presentes, de forma cumulativa: (i) a possibilidade de o incidente afetar significativamente interesses e direitos fundamentais dos titulares, como impedir o exercício de direitos ou a utilização de determinado serviço, ocasionar danos materiais ou morais aos titulares, discriminação, violação da integridade física, direito à imagem, reputação, fraudes financeiras ou roubo de identidade; e (ii) os dados objeto do incidente de segurança forem sensíveis ou de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional, ou dados em larga escala.
A ANPD detalhou, ainda, como o controlador deve fazer para comunicar o incidente de segurança e as medidas que serão tomadas pela autarquia para fiscalizar o incidente e orientar o controlador sobre como as consequências do incidente podem ser mitigadas.
Caso as empresas deixem de realizar a comunicação nos termos do novo regulamento, poderão ser penalizadas com aplicação de multas e outras sanções administrativas. (Resolução CD/ANPD 15/2024)
Advogado Luiz Felipe Calábria Lopes