No último mês, a Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Comunicação de Incidente de Segurança, estabelecendo os procedimentos a serem adotados em caso de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais.
Definido pela Resolução CD/ANPD nº 15/2024, o regulamento aplica-se aos processos de comunicação de incidentes de segurança já em curso. Ainda de acordo com o mesmo, incidentes de segurança que podem acarretar risco ou dano relevante aos titulares são aqueles que:
➡️ Venham a afetar significativamente interesses e direitos fundamentais dos titulares;
➡️ Envolvam, de forma cumulativa, dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; bem como outros dados em larga escala.
Além disso, ficam estabelecidos critérios para identificar incidentes de segurança que possam impactar de forma significativa os direitos dos titulares, incluindo situações que possam prejudicar o exercício de direitos ou causar danos materiais ou morais, como discriminação, violação da integridade física, fraudes financeiras, entre outros. A comunicação desses incidentes à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados deve ocorrer dentro de três dias úteis após o conhecimento pelo controlador. Adicionalmente, o regulamento permite que a ANPD inicie procedimentos de investigação caso o incidente não seja comunicado pelo controlador, garantindo assim a proteção dos dados pessoais e a responsabilidade das partes envolvidas.