No dia 22 de fevereiro de 2021 foi iniciada a tomada de subsídios sobre a Notificação de Incidentes de Segurança, para regulamentação do tema pela Autoridade Nacional de Proteção de Dados (ANPD), conforme previsto na Lei Geral de Proteção de Dados (LGPD).
A ANPD, já totalmente formada e com diversos processos em andamento, o que inclui local para realização de denúncias, possui agenda regulatória bianual (2021/2022), aprovada em janeiro de 2021 pela Portaria 11/2021, cujo item 6 trata exatamente da regulamentação da comunicação de incidentes de segurança, com especificação do prazo de notificação, conforme art. 48 da LGPD.
Para participação popular, ou dos agentes interessados, na elaboração da regulamentação sobre incidentes de segurança, a ANPD abre a tomada de subsídios, detalhada na Nota Técnica nº 3/2021/CGN/ANPD e disponível para participação ou consulta no site https://www.gov.br/anpd/pt-br. Após análise das contribuições a minuta ou proposta de regulamentação será criada e submetida à Consulta Pública, antes da efetiva publicação.
O art. 48 da LGPD prevê a obrigatoriedade de comunicação pelo Controlador aos titulares de dados e à própria ANPD, quanto à ocorrência de incidentes de segurança que possam trazer quaisquer tipos de risco ou danos aos titulares dos dados. Para que tal comunicação seja feita é necessário seguir algumas regras e critérios, porém nem todos foram previstos na LGPD, deixando tal tarefa sob responsabilidade da ANPD, como o “prazo razoável” e o conteúdo exato que deverá estar presente na comunicação, as possíveis classificações de risco do incidente e os critérios para tal classificação, as exceções à obrigatoriedade de comunicar, as metodologias sobre a análise da gravidade do incidente e as possíveis providências, tanto técnicas quanto administrativas, que poderão ser determinadas aos controladores pela ANDP, além de diversos outros.
Embora ainda estejam na fase de tomada de subsídios, a ANPD já disponibilizou em seu site formulário para comunicação de incidente de segurança, que pode ser feito pelo controlador ou pelo operador, incluindo no mínimo as informações já estabelecidas pela LGPD, no prazo de 2 (dois) dias úteis contados da data do incidente. Embora a LGPD não possua previsão de prazo, conforme informado acima, e a ANPD não possua uma regulamentação finalizada, em seu site a Autoridade recomenda que a comunicação seja realizada com a maior brevidade possível, para eles considerado o prazo máximo de dois dias úteis.
Com previsão para início da aplicação de penalidades em agosto de 2021 a ANPD se mostra rápida na elaboração e organização de processos e regulamentos, visto existirem outros processos em andamento além do descrito aqui, como a tomada de subsídios para regulamentação de proteção de dados em microempresas, iniciado em 29 de janeiro, com prazo para envio encerrado em 01 de março de 2021 – item 3 da Agenda regulatória já aprovada pela Portaria nº 11/2021. Tal demonstração de interesse e emprenho em preparar a Autoridade para sua atuação total em agosto, gera a infelicidade e angústia daqueles que acreditavam no esquecimento desta legislação, como uma das leis brasileiras que “não são seguidas realmente”, como motivo para não implementar a segurança de dados e os preceitos da LGPD em seus negócios.
Por: Beatriz Gomes