Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Comunicação de Incidente de Segurança, por meio da Resolução CD/ANPD nº 15 de abril de 2024 (Resolução nº15/2024). O Regulamento complementou o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD), que prevê como obrigação do controlador a comunicação à ANPD e aos titulares de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Além disso, a norma estabelece definições e critérios para avaliação dos riscos e danos ocasionados por incidentes de segurança, assim como estabelece prazos para a comunicação de incidente à ANPD e aos titulares.
Em linhas gerais, os critérios previstos no Regulamento para caracterizar o incidente como um risco relevante aos titulares estão relacionados aos prejuízos causados aos interesses e direitos fundamentais dos titulares, desde que envolva, cumulativamente, um dos seguintes aspectos: a) dados pessoais sensíveis; b) dados de crianças, adolescentes ou idosos; c) dados financeiros; d) dados de autenticação em sistema; e) dados protegidos por sigilo ou; f) dados tratados em larga escala.
Em relação ao prazo para comunicação do incidente, o Regulamento estabelece o prazo de 3 dias para que o controlador realize a comunicação do incidente à ANPD, contado a partir do conhecimento do incidente que afetou dados pessoais, ressalvada a existência de prazo para comunicação previsto em legislação específica. As informações enviadas poderão ser complementadas no prazo de 20 úteis, a contar da data da comunicação.
A equipe de Compliance e Integridade do Rolim Goulart Cardoso encontra-se à disposição para mais esclarecimentos e para auxiliá-los na discussão do tema.