Publicado Regulamento de Comunicação de Incidente de Segurança (RCIS)

No último dia 26 de abril foi publicada a Resolução nº 15/2024, da ANPD, que dispõe sobre o Regulamento de Comunicação de Incidente de Segurança (RCIS). O RSCIS dispõe medidas complementares ao artigo 48 da LGPD apontando quando é necessária a comunicação à ANPD e para titulares de dados pessoais.

O RCIS destaca que o prazo para comunicação, tanto para a ANPD quanto para titulares de dados afetados, é de 3 dias úteis após a confirmação do incidente, sendo que a comunicação preliminar poderá ser complementada em até 20 dias úteis. Para agentes de tratamento de pequeno porte, os prazos serão contados em dobro.

Importante observar que, conforme artigo 4º do RCIS, deverão ser comunicados somente os incidentes de segurança que possam “acarretar dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:

I - dados pessoais sensíveis;

II - dados de crianças, de adolescentes ou de idosos;

III - dados financeiros;

IV - dados de autenticação em sistemas;

V - dados protegidos por sigilo legal, judicial ou profissional; ou

VI - dados em larga escala.”[1]

A comunicação à ANPD deverá se dar mediante formulário contendo informações mínimas como:

“I - a descrição da natureza e da categoria de dados pessoais afetados;

II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III - as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V - os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo;

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII - a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;

VIII - os dados do encarregado ou de quem represente o controlador;

IX - a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

X - a identificação do operador, quando aplicável;

XI - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

XII - o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.”[2]

As informações preliminares na comunicação à ANPD poderão ser complementadas por requisição da própria ANPD de documentação suplementar como: Mapeamento das Atividades de Tratamento de Dados; Relatório de Impacto à Proteção de Dados Pessoais; e Relatório de Tratamento do Incidente.

Vale destacar que a comunicação aos titulares, a depender da situação, deverá se dar por meio de canais como site eletrônico, mídias sociais, rádio, entre outros. Porém, esta comunicação não se confunde com eventual sanção que determine a publicização da sanção aplicada.

Este Regulamento, além de reforçar os direitos dos titulares, reafirma a importância da transparência e ratifica a necessidade da governança de privacidade de dados, sobretudo porque a correta comunicação munida da demonstração das boas práticas do controlador poderá atenuar eventuais sanções.

Além da atenção ao próprio RCIS, demais obrigações setoriais deverão ser cumpridas cumulativamente, tais como Anatel, Banco Central, CVM, SUSEP,  entre outros.

 
[1] Resolução nº 15/2024 - Artigo 5º
[2] Resolução nº 15/2024 – Artigo 6º, §2º