Como a Nova Resolução da ANPD Reestrutura a Gestão de Incidentes de Segurança

Escrito por Ana Carolina Teles, AI & GRC Specialist na Palqee Technologies

Com a publicação da Resolução CD/ANPD nº 15, em 24 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) enfim estabeleceu as diretrizes para a comunicação de incidentes de segurança, conforme determinado pela Lei Geral de Proteção de Dados Pessoais (LGPD).

Muitas empresas usavam a ausência dessa regulamentação como desculpa para não implementar processos específicos de gestão de incidentes ou, ao menos, não destinar grandes investimentos para essa área.

Agora, com essa mudança, essa justificativa não é mais válida.

Se o seu Programa de Privacidade e Proteção de Dados ainda não está implementado, é hora de agir. A ANPD deixou claro que as consequências da inércia podem ser graves.

Mas, afinal, do que se trata a nova resolução da ANPD?

Entendendo a Resolução CD/ANPD nº 15

A Resolução CD/ANPD nº 15, que aprova o Regulamento de Comunicação de Incidente de Segurança, define procedimentos específicos que as empresas devem seguir para notificar a Autoridade de Proteção de Dados e os titulares de dados afetados sobre incidentes que possam acarretar riscos ou danos relevantes.

Logo no início, a ANPD já deixa claro que os objetivos da resolução são, entre outros:

• Proteger os direitos dos titulares de dados.

• Garantir medidas para mitigar ou reverter prejuízos de incidentes.

• Assegurar responsabilização dos agentes de tratamento de dados.

• Promover boas práticas e segurança.

Então, para alcançar e equilibrar esses objetivos, a ANPD primeiramente definiu o que caracteriza um incidente que representa riscos ou danos relevantes aos titulares de dados. Essa definição é essencial para, de forma balanceada, proteger os direitos das pessoas físicas e assegurar a responsabilização dos agentes de tratamento.

Quando a empresa deve notificar um incidente de segurança?

Para determinar a relevância de um incidente e a necessidade de notificação tanto para a ANPD e quanto para os titulares, a empresa deve considerar se o incidente envolve o seguinte:

• Dados Pessoais Sensíveis: Informações como origem racial, convicções religiosas, opiniões políticas, dados de saúde, orientação sexual, entre outros.

• Dados de Crianças, Adolescentes ou Idosos: Considerados mais vulneráveis e, portanto, merecendo maior proteção.

• Dados Financeiros: Informações que podem ser usadas para fraudes ou outros crimes financeiros.

• Dados de Autenticação em Sistemas: Incluem logins, senhas e outros dados utilizados para verificar a identidade dos usuários.

• Dados Protegidos por Sigilo Legal, Judicial ou Profissional: Informações que são confidenciais por força de lei ou decisão judicial.

• Dados em Larga Escala: Incidentes que afetam um número significativo de titulares em termos de volume, duração, frequência e extensão geográfica, aumentando o potencial de danos.

Identificar a presença de qualquer um desses critérios é um passo importante, mas não suficiente por si só. É também necessário verificar se o incidente impacta os direitos fundamentais da pessoa natural.

Um incidente é considerado de alto impacto quando impede o exercício de direitos, causa danos materiais ou morais, ou resulta em discriminação, violação da integridade física, direito à imagem e reputação, fraudes financeiras ou roubo de identidade.

Portanto, ao constatar que o incidente atende a todos esses requisitos, fica claro: a empresa deve comunicar à ANPD e aos titulares afetados sobre o ocorrido. 

Orientações da ANPD

Nem sempre é claro ou intuitivo para os agentes de tratamento determinar a necessidade de comunicar um incidente de segurança. Por isso, a ANPD estabelece que pode publicar orientações adicionais para auxiliar as empresas na avaliação de incidentes que possam acarretar riscos ou danos relevantes aos titulares.

Bom, considerando que você deve, então, comunicar o incidente, qual é o procedimento a ser seguido? Em quanto tempo deve ser realizada a notificação às partes? O que precisa constar nessa notificação? Como operacionalizar tudo isso?

Vamos lá...

Procedimento de Comunicação de Incidente de Segurança

Comunicação à ANPD

• Prazo

Após um longo período de incerteza jurídica desde a vigência da LGPD em 2020, a publicação da Resolução CD/ANPD nº 15 em 2024 finalmente estabeleceu um prazo legal claro para a comunicação de incidentes de segurança.

Anteriormente, havia uma orientação da própria Autoridade – sem força legal – de notificação em até dois dias úteis. Com a nova norma, o controlador deve comunicar à ANPD qualquer incidente de segurança no prazo de três dias úteis após a descoberta.

• Conteúdo da notificação

Ao identificar a necessidade de notificar a ANPD, o controlador deve reunir e compartilhar as seguintes informações:

• Descrição da natureza e categoria dos dados pessoais afetados

• Número de titulares afetados

• Medidas de segurança adotadas antes e depois do incidente

• Riscos relacionados ao incidente e possíveis impactos aos titulares

• Motivos de eventual atraso na comunicação

• Medidas adotadas ou planejadas para mitigar os efeitos do incidente

• Data do incidente e de seu conhecimento pelo controlador

• Informações do encarregado ou representante do controlador

• Identificação do controlador e do operador, se aplicável

• Descrição detalhada do incidente, incluindo a causa principal, se conhecida

Não se preocupe se a equipe de proteção de dados, junto com o DPO e o departamento de tecnologia e segurança da informação, não conseguir reunir todas as informações necessárias dentro dos três dias úteis após a descoberta do incidente. A própria resolução permite que as informações iniciais sejam complementadas em até vinte dias úteis após a primeira comunicação.

Lembre-se de que a notificação deve ser feita através de um formulário eletrônico fornecido pela ANPD. Para isso, o notificante deve estar cadastrado no sistema SUPERGOV.BR do Governo Federal. Se você é o Encarregado (DPO) de um agente de tratamento e ainda não possui esse cadastro, é crucial que o faça o mais rápido possível, pois a aprovação do cadastro nem sempre ocorre em menos de três dias úteis.

Além disso, o DPO deve incluir na notificação a documentação que comprove seu vínculo contratual, empregatício ou funcional com o controlador.

Comunicação aos titulares

• Prazo

O controlador também deve comunicar o incidente de segurança aos titulares dos dados pessoais no prazo de três dias úteis após a descoberta.

• Conteúdo da notificação

Comunicar um incidente de segurança aos titulares é um processo delicado que exige clareza, transparência e uma abordagem humana.

A comunicação deve incluir as seguintes informações essenciais:

• Descrição da natureza e categoria dos dados pessoais afetados

• Medidas técnicas e de segurança adotadas

• Riscos relacionados ao incidente e possíveis impactos aos titulares

• Medidas adotadas ou a serem adotadas para mitigar os efeitos do incidente

• Data em que o incidente foi conhecido

• Informações de contato para mais esclarecimentos, incluindo dados de contato do encarregado

Ao contrário da notificação formal à ANPD, a comunicação aos titulares exige uma abordagem mais empática e acessível. Estamos falando de pessoas naturais, que nem sempre têm conhecimento técnico sobre proteção de dados, segurança e tecnologia.

Portanto, a clareza e a transparência são fundamentais.

Imagine a seguinte situação: você é um titular de dados que recebeu um comunicado de uma empresa sobre um incidente de segurança que envolve os seus dados pessoais. Como você se sentiria? Confuso, preocupado, talvez até um pouco assustado? É exatamente por isso que a comunicação deve ser otimizada para ser didática, clara e direta, abordando o que aconteceu de forma compreensível.

• Requisitos da Comunicação

A resolução determina que a comunicação aos titulares seja direta e individualizada, utilizando os meios habituais de contato, como telefone, e-mail, mensagem eletrônica ou carta.

No entanto, nem sempre é possível alcançar cada titular individualmente.

Nessas situações, o controlador deve recorrer a canais amplamente acessíveis, como o site da empresa, redes sociais e outros canais de atendimento, sempre observando os limites e particularidades do caso concreto.

Para que a comunicação seja realmente eficaz, ela deve:

1. Ser Empática: Coloque-se no lugar do titular e comunique-se com empatia, reconhecendo a preocupação e a necessidade de segurança.

2. Ser Transparente: Forneça todas as informações necessárias de forma honesta e clara.

3. Ser Proativa: Detalhe as medidas que estão sendo adotadas para mitigar os efeitos do incidente e para prevenir futuros problemas.

Registro dos Incidentes de Segurança

O controlador deve manter um registro de todos os incidentes de segurança, comunicados ou não à ANPD e aos titulares, por um período mínimo de cinco anos.

Este registro deve incluir:

• Data em que o incidente foi conhecido

• Descrição geral das circunstâncias do incidente

• Natureza e categoria dos dados pessoais afetados

• Número de titulares afetados

• Avaliação dos riscos e possíveis danos para os titulares

• Medidas adotadas para corrigir e mitigar os efeitos do incidente

• Detalhes da comunicação do incidente, se houver

• Justificativa para a não comunicação, se aplicável

Desafios da Comunicação de Incidentes

A comunicação de incidentes de segurança é uma tarefa complexa que exige precisão e rapidez. As empresas precisam garantir que todos os procedimentos sejam seguidos à risca para evitar penalidades e proteger a privacidade dos titulares de dados.

Algumas das principais dificuldades incluem:

• Tempo de resposta: Cumprir o prazo de três dias úteis para comunicar um incidente pode ser desafiador, especialmente sem processos automatizados.

• Coleta de informações: Reunir todos as informações necessárias de forma precisa e completa exige um sistema eficiente de gestão de incidentes.

• Conformidade contínua: Manter-se atualizado com as regulamentações e garantir a conformidade constante requer um monitoramento contínuo e recursos dedicados.

Como a Tecnologia Pode Otimizar os Processos de Comunicação de Incidentes

Percebe-se que, para suprir os desafios mencionados acima, o uso de softwares especializados na Governança de Proteção de Dados emerge como aliados poderosos, otimizando processos, garantindo conformidade e minimizando riscos.

Vamos explorar como essas ferramentas podem transformar a gestão de incidentes de segurança:

1. Automatização da Comunicação de Incidentes

Softwares de governança de proteção de dados permitem a automatização da comunicação de incidentes. Eles garantem que todas as informações necessárias sejam coletadas e transmitidas à ANPD dentro do prazo estipulado, configurando alertas e lembretes automáticos para que nenhum prazo seja perdido. Essa automação reduz o esforço manual e aumenta a eficiência do processo.

2. Coleta e Gestão de Dados

Esses softwares facilitam o mapeamento de todos os dados relevantes, como a natureza dos dados afetados, as medidas de segurança adotadas e os potenciais impactos. Isso assegura que as comunicações sejam precisas e completas, reduzindo o risco de erros e omissões. A centralização das informações também simplifica a análise e o gerenciamento dos incidentes.

3. Monitoramento Contínuo

Ferramentas de monitoramento contínuo integradas aos softwares de governança ajudam a identificar e responder a incidentes de segurança em tempo real. Isso acelera o tempo de resposta e melhora a capacidade da empresa de mitigar danos e proteger os dados dos titulares.

4. Conformidade e Auditoria

Softwares especializados oferecem funcionalidades para auditorias internas e externas, permitindo que as empresas mantenham registros detalhados de todos os incidentes de segurança e das ações tomadas. Esses registros são essenciais para demonstrar conformidade contínua com a LGPD e outras regulamentações relevantes. A capacidade de gerar relatórios detalhados facilita a transparência e a prestação de contas.

5. Educação e Conscientização

Além das funcionalidades técnicas, esses softwares podem ser usados para treinar e educar funcionários sobre as melhores práticas de segurança e conformidade. Programas de treinamento integrados ajudam a construir uma cultura de segurança dentro da organização, garantindo que todos estejam cientes das políticas e procedimentos necessários para proteger os dados pessoais.

Conclusão

A Resolução CD/ANPD nº 15 traz novos desafios para a comunicação de incidentes de segurança, elucidando pontos que antes geravam incerteza jurídica. Agora, com diretrizes claras e bem definidas, as empresas têm a oportunidade de se ajustar e melhorar seus processos internos no que tange à governança da proteção de dados.

Para organizações que buscam otimizar seus processos, o uso das ferramentas certas pode ser um aliado poderoso. Afinal, não se trata apenas de cumprir regulamentos, mas também de proteger a integridade e a confiança dos dados pessoais de seus clientes.