Em 24.4.2024, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Comunicação de Incidente de Segurança, que estabelece os procedimentos para a comunicação de ocorrência de incidentes de segurança que envolvam dados de pessoas físicas, como o nome, o endereço e a imagem.
O incidente de segurança é um evento que compromete de forma relevante a segurança dos dados pessoais que estão sob o controle de uma empresa ou de um indivíduo, a exemplo do que ocorre quando a base de dados de determinada empresa é invadida e os dados nela armazenados são indevidamente vazados.
Ocorrendo o incidente de segurança, há necessidade de comunicá-lo à ANPD, via formulário eletrônico*, e ao(s) titular(es) dos dados pessoais afetados, via contato direto e individual, no prazo três dias úteis, como regra, contados da data em que se tomou conhecimento do incidente.
A comunicação deve conter todas as informações que se conseguiu apurar sobre o incidente até então, como a descrição dos dados afetados, os riscos relacionados e as medidas de remediação que foram ou que serão adotadas. Há possibilidade de complementar as informações após a primeira comunicação.
As informações relacionadas ao incidente de segurança devem ser guardadas pelo prazo mínimo de cinco anos, sendo essa uma obrigação da empresa ou do indivíduo envolvido no incidente.
Ao regulamentar o procedimento de comunicação de incidentes de segurança, a ANPD estabeleceu uma obrigação de agir de maneira rápida e efetiva, em caso de incidentes, para minimizar os danos, a qual deve ser rigorosamente observada.
Caio Nordi Jorge Armani Cirino | Advogado da área de Contratos e Societário do GHBP Advogados
*Disponível no site da ANPD: Comunicação de incidente de segurança — Autoridade Nacional de Proteção de Dados (www.gov.br)