PORTAL DE TELECOM, INTERNET E TIC

Consulta Pública

ANPD coloca regras para informar risco de danos em consulta pública

Minuta prevê prazo diferenciado para agentes de pequeno porte e detalha quais informações devem conter nos comunicados.
ANPD coloca em consulta regras para informar risco de danos
Minuta sintetiza regras para avisar incidente de segurança envolvendo dados pessoais | Foto: Freepik

A Autoridade Nacional de Proteção de Dados (ANPD) abriu consulta pública sobre as regras que ditam a forma adequada dos controladores de dados informarem incidente de segurança à autarquia e aos titulares afetados. As contribuições devem ser enviadas por meio da plataforma Participa Mais Brasil até o dia 31 de maio.

De acordo com a minuta, o processo de comunicação sobre um incidente de segurança tem entre seus objetivos assegurar a adoção das medidas necessárias para mitigar ou reverter os efeitos e incentivar o princípio da responsabilização e da prestação de contas pelos agentes de tratamento. 

Além disso, a comunicação dos incidentes fornecem subsídios para as atividades regulatórias, de fiscalização e sancionadoras da ANPD.

A proposta em consulta pública é de exigir comunicação do incidente por parte do controlador diretamente à ANPD “sempre que o incidente possa acarretar risco ou dano relevante aos titulares afetados” (saiba mais abaixo). 

O prazo geral para a comunicação é de três dias úteis a partir do conhecimento do ocorrido. Para agentes de pequeno porte, o prazo é maior, de seis dias úteis. 

Risco ou dano relevante

Um incidente capaz de acarretar risco ou dano relevante aos titulares é definido como aquele com potencial de afetar significativamente interesses e direitos fundamentais dos titulares e envolver pelo menos um dos seguintes critérios:

  • dados sensíveis;
  • dados de crianças, de adolescentes ou de idosos;
  • dados financeiros;
  • dados de autenticação em sistemas; ou
  • dados em larga escala (“quando abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”).

O conceito de incidente que pode “afetar significativamente interesses e direitos fundamentais” é descrito como aqueles que possam “impedir ou limitar o exercício de direitos ou a utilização de um serviço” ou “ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade”. 

O que deve ser informado à ANPD

A minuta lista uma série de informações que devem estar presentes na comunicação do incidente de segurança, dentre as quais: a descrição da natureza e da categoria de dados pessoais afetados; o número de titulares afetados, discriminando quantos são crianças, adolescentes ou idosos; os riscos; dados do encarregado, controlador e operador; as medidas de segurança adotadas; e a declaração de que foi realizada a comunicação aos titulares (saiba mais abaixo).

O controlador de dados pode ser representado por um advogado para apresentar a comunicação 

Sigilo

Ainda de acordo com a minuta, o caberá ao controlador de dados solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial. 

O que deve ser informado ao titular

As hipóteses de comunicação aos usuários também são em caso de risco ou dano relevante, com prazo de três úteis desde o conhecimento do caso, sendo seis dias quando o agente for de pequeno porte. 

Os titulares devem ter acesso à informações com linguagem simples e de fácil entendimento, de forma direta e individualizada (pelos meios usualmente utilizados pelo controlador para contatar o titular, tais como, telefone, e-mail, mensagem eletrônica ou carta), contendo:

 

  • a descrição da natureza e da categoria de dados pessoais afetados;
  • os riscos ou impactos ao titular;
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os
  • efeitos do incidente, quando cabíveis;
  • a data do conhecimento do incidente de segurança; e
  • o contato para obtenção de informações e dados do encarregado, quando
  • aplicável.

A minuta prevê que caso a comunicação direta e individualizada se mostre inviável ou não seja possível determinar, parcial ou integralmente, os titulares afetados, o controlador deverá comunicar a ocorrência do incidente, no prazo e com as informações exigidas, pelos meios de divulgação disponíveis, tais como na sua página na Internet, em aplicativos, em suas mídias sociais e em canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização pelo período de, no mínimo, seis meses. 

Acesse aqui a minuta com as regras em consulta pública.

TEMAS RELACIONADOS

ARTIGOS SUGERIDOS