PUBLICAÇÕES

No último dia 26, a ANPD publicou a Resolução CD/ANPD nº 15, de 2024, que aprova e estabelece o Regulamento de Comunicação de Incidente de Segurança, objetivando estabelecer os procedimentos para Comunicação de Incidente de Segurança.

Segundo a normativa, incidentes de segurança que possam acarretar risco ou dano relevante aos titulares devem ser comunicados à ANPD e ao titular pelo controlador em até três dias úteis após o conhecimento do fato, caso não haja prazo específico previsto em legislação, sob pena de sofrer processo administrativo sancionador.

Incidente de segurança é determinado pelo regulamento como qualquer ocorrência relacionada à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Os critérios para identificar se um incidente de segurança pode acarretar risco ou dano relevante também são trazidos pelo regulamento.

A comunicação à Autoridade deverá conter informações como a natureza e categoria dos dados violados, os titulares afetados e as medidas tomadas para a proteção dos dados, e a partir da análise do ocorrido será determinado quais as medidas a serem tomadas pelo controlador, como ampla divulgação do incidente e medidas para minoração dos seus efeitos. Independente da ANPD ter sido comunicada, o controlador deve manter o registro do incidente pelo prazo mínimo de 5 anos.