Em abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD 15, estabelecendo o Regulamento de Comunicação de Incidente de Segurança. Este regulamento é composto por 24 artigos e visa definir regras claras para tratar incidentes de segurança que envolvem dados pessoais.
Antes dessa regulamentação, a Lei Geral de Proteção de Dados (LGPD) já exigia que os incidentes de segurança fossem comunicados à ANPD e aos titulares dos dados. No entanto, a LGPD não detalhava como essa comunicação deveria ser feita. Com a nova resolução, essas lacunas foram preenchidas, trazendo mais segurança jurídica para quem trata dados pessoais.
Uma das principais mudanças trazidas pelo regulamento é o prazo para a comunicação de incidentes. De acordo com o art. 6º, o controlador tem 3 dias úteis para notificar a ANPD após tomar conhecimento de que o incidente afetou dados pessoais. Esse prazo é importante para garantir uma resposta rápida e eficaz aos incidentes.
Além disso, o regulamento, no art. 10, determina que todos os incidentes, mesmo aqueles que não são comunicados, devem ser registrados e mantidos pelo controlador por um período mínimo de 5 anos. Isso garante que haja um histórico detalhado dos incidentes, o que pode ser útil para auditorias e investigações futuras.
Outro ponto importante é que o descumprimento das regras de comunicação pode levar à instauração de processos administrativos sancionadores. Isso reforça a necessidade de as organizações adotarem práticas seguras e estarem em conformidade com as exigências da ANPD.
Para alcançar essa conformidade, é essencial que as organizações implementem um programa de governança em privacidade. Esse programa deve ser estratégico e atualizado continuamente, alinhando-se às regulamentações mais recentes e às melhores práticas do setor. Dessa forma, as empresas podem garantir a segurança dos dados que tratam e evitar sanções.
Em resumo, a Resolução CD/ANPD 15 traz clareza e segurança jurídica para o tratamento de dados pessoais no Brasil. Com prazos definidos e exigências claras, as organizações podem se preparar melhor para lidar com incidentes de segurança, protegendo tanto os dados quanto os direitos dos titulares.
Jayme do Espírito Santo Pinheiro Neto – é advogado, graduado pelo Centro Universitário Salesiano de São Paulo, Pós-Graduado em Investigação Criminal e Legislação Penal pela Faculdade Unyleya, com cursos de extensão nas áreas de LGPD, Compliance, sendo certificado pelo Curso de Compliance Anticorrupção pela LEC – Legal, Ethics & Compliance, além de possuir o Curso de Alinhamento Conceitual do Programa Nacional de Capacitação e Treinamento no Combate à Corrupção e à Lavagem de Dinheiro pela Academia Nacional de Polícia. É advogado do escritório Losinskas, Barchi Muniz Advogados Associados – www.lbmadvogados.com.br