Na data de 26 de abril, o Conselho Diretor da ANPD (Autoridade Nacional de Proteção de Dados) promulgou a Resolução nº. 15, detalhando os procedimentos em incidentes de segurança e como o controlador de dados deve proceder em face a um incidente.
Conforme a própria resolução indica, alguns de seus objetivos são “assegurar a efetividade do princípio da responsabilização e da prestação de contas pelos agentes de tratamento”, “garantir que os agentes de tratamento atuem de forma transparente e estabeleçam uma relação de confiança com o titular” e“fornecer subsídios para as atividades regulatória, fiscalizatória e sancionatória da ANPD”.
A partir da resolução, o controlador passa a ter o dever de comunicar à ANPD e ao titular de dados a ocorrência de incidentes de segurança, os quais sejam capazes de acarretar risco aos titulares cujos dados estejam envolvidos no incidente.
A ANPD considerará incidente toda ocorrência que viole ou possa acarrear na violação da confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais, envolvendo ao menos algum destes critérios:
A) Dados pessoais sensíveis;
B) Dados de crianças, de adolescentes ou de idosos;
C) Dados financeiros;
D) Dados de autenticação em sistemas;
E) Dados protegidos por sigilo legal, judicial ou profissional;
F) Dados em larga escala.
Outro ponto que merece atenção é que, conforme a nova resolução, o controlador de dados passa a ter o dever de manter o registro de todo incidente de segurança relacionado ao tratamento que realizou – ainda que este não tenha sido comunicado à ANPD.
A nossa recomendação para a sua empresa quanto a incidentes de segurança é: não chegue ao ponto deixá-la passar por incidentes de segurança. A sua empresa poderá sofrer autuações, multas e até processos que poderiam ser evitados com o estabelecimento de regras para o tratamento de dados.
Caso deseje mais informações sobre como evitar problemas como este ou esteja enfrentando incidentes de segurança, nosso escritório está à disposição para atendê-lo.