Este Guia foi elaborado pela equipe de TMT e Privacidade e Proteção de Dados do Azevedo Sette Advogados para servir de orientação inicial na decisão de um Controlador sobre comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados – ANPD.
Trata-se apenas de um Guia elaborado no formato Perguntas e Respostas, seguido de um Checklist inicial. Ele não substitui orientação profissional considerando as peculiaridades de cada caso. Portanto, não deve ser considerado como substituto para aconselhamento jurídico especializado.
O Guia está atualizado até a data de 8/10/2024, de modo que alterações legislativas ou regulamentares posteriores a essa data devem ser consultadas em complementação a este documento.
PERGUNTAS E RESPOSTAS
1. O que é um incidente de segurança?
É qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais (Res. CD/ANPD 15/2024, art. 3º, XII). Neste contexto, é relevante trazer as seguintes definições:
- Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade (Res. CD/ANPD 15/2024, art. 3º, II);
- Confidencialidade: propriedade pela qual se assegura que o dado pessoal não esteja disponível ou não seja revelado a pessoas, empresas, sistemas, órgãos ou entidades não autorizados (Res. CD/ANPD 15/2024, art. 3º, V);
- Integridade: propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental (Res. CD/ANPD 15/2024, art. 3º, XIII);
- Disponibilidade: propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados (Res. CD/ANPD 15/2024, art. 3º, XI);
2. Que tipo de incidente de segurança deve ser comunicado?
Deve ser comunicado o incidente de segurança que possa acarretar risco ou dano relevante a titulares de dados pessoais.
2.1. Quando há “risco ou dano relevante”?
Há risco ou dano relevante quando o incidente de segurança (i) puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, (ii) envolver, pelo menos, um dos seguintes critérios (Res. CD/ANPD 15/2024, art. 5º, I a VI):
- Dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dados de crianças, de adolescentes ou de idosos: de acordo com o Estatuto da Criança e do Adolescente – ECA (Lei 8.069/1990), criança é a pessoa com até doze anos incompletos, enquanto adolescente é a pessoa com idade entre doze e dezoito anos de idade. De acordo com o Estatuto do Idoso (Lei 10.741/2003), é considerada pessoa quem tenha idade igual ou superior a sessenta anos;
- Dados financeiros: dado pessoal relacionado à vida financeira do titular, inclusive para contratação de serviços e aquisição de produtos;
- Dados de autenticação em sistemas: qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identificação de um usuário, tais como contas de login, tokens e senhas;
- Dados protegidos por sigilo legal ou judicial: dado pessoal cujo sigilo decorra de norma jurídica ou decisão judicial;
- Dado protegido por sigilo profissional: dado pessoal cujo sigilo decorra do exercício de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a alguém; ou
- Dados em larga escala: caracterizados quando abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos, a duração, a frequência e a extensão geográfica de localização dos titulares.
2.2. Quem são os titulares de dados pessoais?
O titular é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (LGPD, art. 5º, V). Dados pessoais são informações relacionadas a pessoa natural identificada ou identificável. No caso de um incidente de segurança, os titulares são as pessoas naturais cujos dados pessoais foram afetados em conexão com o incidente.
3. Quem deve comunicar o incidente de segurança?
O Controlador (LGPD, art. 48). A comunicação de incidente de segurança (CIS) é ato do Controlador que comunica à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (Res. CD/ANPD 15/2024, art. 3º, IV).
Atualmente, não há especificação em lei ou regulamento que indique se o próprio Encarregado de Dados do Controlador deve comunicar o incidente. Sendo assim, é possível que um representante nomeado pelo Controlador para fins de CIS seja nomeado, como por exemplo um advogado com Procuração específica para este fim.
Essa prática pode ser constatada na página do SEI da ANPD, em que representantes legais externos protocolizaram CIS para empresas Controladoras envolvidas em incidentes de segurança. A vantagem de utilizar representante legal externo para agir em nome do Controlador para CIS é que preserva o Controlador de exposição frente ao mercado quanto ao incidente. Caso seja de interesse da ANPD, de todo modo, ela pode determinar publicação do ocorrido pelo Controlador (LGPD, art. 48, § 2º, I).
4. A quem deve o incidente de segurança ser comunicado?
O incidente deve ser comunicado à ANPD e ao titular de dados pessoais afetados.
5. Qual o prazo para comunicar o incidente de segurança?
O prazo estabelecido em regulamento é de três dias úteis, contados do conhecimento pelo Controlador de que o incidente afetou dados pessoais. Se houver outro prazo para comunicação previsto em legislação específica, esta deve ser seguida (Res. CD/ANPD 15/2024, art. 6º).
Para agentes de pequeno porte, o prazo de comunicação é concedido em dobro (Res. CD/ANPD 2/2022, art. 14, II), exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional
Agentes de tratamento de pequeno porte são definidos como: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de Controlador ou de Operador (Resolução CD/ANPD nº 2/2022, art. 2º, I).
Microempresas e empresas de pequeno porte, segundo a Resolução CD/ANPD nº 2/2022, art. 2º, II, são: sociedade empresária, sociedade simples, sociedade limitada unipessoal e o empresário a que se refere o art. 966 do Código Civil , incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar 123/2006.
Startups, segundo a Resolução CD/ANPD nº 2/2022, art. 2º, III, são organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar 182/2021.
6. Como é feita a CIS na prática?
Através do SEI da ANPD.
7. Qual o conteúdo do comunicado de incidente de segurança?
Nos termos da LGPD, a CIS deve conter, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
A Resolução CD/ANPD 15/2024 (art. 9º), por sua vez, traz os seguintes elementos que devem compor a CIS direcionada à ANPD:
I - a descrição da natureza e da categoria de dados pessoais afetados;
II – o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos.
III - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
V - os motivos da demora, no caso de a comunicação não ter sido feita no prazo (3 dias úteis ou o dobro para agentes de pequeno porte);
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
VII - a data da ocorrência do incidente de segurança, quando possível e a de seu conhecimento pelo Controlador; e
VIII - os dados do Encarregado ou de quem represente o Controlador;
IX - a identificação do Controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
X - a identificação do Operador, quando aplicável;
XI - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
XII - o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
Quanto à comunicação do incidente aos titulares de dados, ela deverá atender aos seguintes critérios, constantes da Resolução CD/ANPD 15/2024:
I - fazer uso de linguagem simples e de fácil entendimento; e
II - ocorrer de forma direta e individualizada (realizada pelos meios usualmente utilizados pelo Controlador para contatar o titular, tais como telefone, e-mail, mensagem eletrônica ou carta), caso seja possível identificá-los.
Além disso, deve conter:
I - a descrição da natureza e da categoria de dados pessoais afetados;
II - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
III - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
IV - os motivos da demora, no caso de a comunicação não ter sido feita no prazo previsto;
V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
VI - a data do conhecimento do incidente de segurança; e
VII - o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.
Caso a comunicação direta e individualizada seja inviável ou não seja possível identificar, parcial ou integralmente, os titulares afetados, o Controlador deverá comunicar a ocorrência do incidente, no prazo e com as informações definidas no art. 9º da Resolução CD/ANPD 15/2024, pelos meios de divulgação disponíveis, tais como seu site, aplicativos, suas mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.
O Controlador deve juntar ao processo de CIS uma declaração de que realizou a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis, contados do término do prazo de comunicação à ANPD.
8. Quais as consequências da CIS para o Controlador?
A ANPD verificará a gravidade do incidente e poderá determinar que o Controlador adote providências como (i) ampla divulgação do fato em meios de comunicação; e (ii) medidas para reverter ou mitigar os efeitos do incidente, caso a autoridade ache necessário para salvaguardar os direitos dos titulares (LGPD, art. 48, § 2º, I e II).
Para julgar a gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los (LGPD, art. 48, § 3º).
A LGPD determina que os sistemas utilizados para tratar dados pessoais devem ser estruturados de forma a atender a: (i) requisitos de segurança, (ii) padrões de boas práticas e de governança e (iii) princípios gerais previstos na LGPD e em demais normas regulamentares (LGPD, art. 49).
FONTES
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 23 de agosto de 2024.
BRASIL. Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, LGPD, para agentes de tratamento de pequeno porte. Diário Oficial da União, Brasília, DF, 28 jan. 2022. Disponível em: Resolução CD/ANPD 2/2022. Acesso em: 23 de agosto de 2024.
BRASIL. Resolução CD/ANPD nº 15, de 24 de abril de 2024. Aprova o Regulamento de Comunicação de Incidente de Segurança. Diário Oficial da União, Brasília, DF, 26 abr. 2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024. Acesso em: 23 de agosto de 2024.
BRASIL. Lei nº 10.741, de 1º de outubro de 2003. Dispõe sobre o Estatuto da Pessoa Idosa e dá outras providências. Diário Oficial da União, Brasília, DF, 3 out, 2003. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/2003/l10.741.htm. Acesso em: 8 de outubro de 2024.
BRASIL. Lei nº 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências. Diário Oficial da União, Brasília, DF, 16 jul, 1990. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 8 de outubro de 2024.