A Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS), através da Resolução nº 15/2024, publicada hoje, dia 26 de abril de 2024.
O RCIS prevê que o controlador de dados pessoais deve comunicar à ANPD e ao titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.
Além disso, o regulamento estabelece prazos para a comunicação dos incidentes à ANPD e aos titulares, bem como determina quais informações devem ser incluídas nessas comunicações.
Abaixo, destacamos os principais inovações trazidas pelo regulamento:
- Identificação do Incidente: As organizações devem identificar qualquer evento adverso confirmado relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais.
- Registros dos Incidentes: Por um período mínimo de cinco anos, deverão ser mantidos, pelo controlador de dados, os registros detalhados dos incidentes de segurança envolvendo dados pessoais, ainda que tais eventos não tenham sido tornados públicos à ANPD ou aos titulares. Esses registros devem conter informações como: os dados afetados; b. data de ocorrência e de conhecimento dos fatos; c. descrição das circunstâncias em que ocorreram; e d. além de outros que se mostrem aplicáveis devido à natureza do incidente e/ou dos dados.
- Comunicação à ANPD: Após a identificação do incidente, os controladores terão o prazo de 3 dias úteis para comunicar a ocorrência do incidente à ANPD. Essa comunicação deve ser realizada através de um formulário eletrônico disponibilizado no site da própria ANPD e deve conter informações detalhadas sobre o incidente conforme instruído no formulário.
- Notificação ao Titular de Dados: Adicionalmente à obrigação dos controladores de comunicar os fatos à ANPD, os controladores também deverão notificar o incidente aos titulares dos dados afetados, no prazo de 3 dias úteis a partir do conhecimento do incidente. A cientificação dos titulares deve ser feita de forma direta e individualizada, quando possível, e deve incluir informações sobre o incidente e as medidas adotadas para mitigar seus efeitos.
Permanecemos à disposição para quaisquer esclarecimentos adicionais julgados necessários.