A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje, 26, a Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS).
Segundo a autarquia, o texto tem os objetivos de mitigar ou reverter prejuízos gerados por incidentes; de assegurar a responsabilização e a prestação de contas; de promover a adoção de boas práticas de governança, prevenção e segurança; e de fortalecer a cultura de proteção de dados pessoais no País.
O RCIS prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.
O regulamento também traz os prazos para que o controlador efetive a comunicação e quais informações devem ser encaminhadas. O normativo traz, ainda, a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.
Diz ainda que a comunicação de incidente de segurança à ANPD e aos usuários deverá ser realizada em no máximo três dias úteis, quando não houver alguma lei específica setorial que estabeleça algo diferente.
As empresas também terão que detalhar à ANPD que tipo de vazamento aconteceu, especificando:
natureza e da categoria de dados pessoais afetados;
o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo;
as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
os dados do encarregado ou de quem represente o controlador;
a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
a identificação do operador, quando aplicável;
a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.
Aos usuários, deverão emitir comunicado menos detalhado, mas que informa que incidente aconteceu, o que está fazendo para corrigir o problema, os riscos ao usuários devido ao vazamento, porque não comunicou antes o incidente, caso a data de conhecimento esteja distante, e contato para o titular buscar mais informações.
O post ANPD aprova o Regulamento de Comunicação de Incidente de Segurança apareceu primeiro em TeleSíntese.
Compartilhe isso:
- Clique para compartilhar no Twitter(abre em nova janela)
- Clique para compartilhar no Facebook(abre em nova janela)
- Clique para imprimir(abre em nova janela)
- Clique para compartilhar no LinkedIn(abre em nova janela)
- Clique para compartilhar no Reddit(abre em nova janela)
- Clique para compartilhar no Tumblr(abre em nova janela)
- Clique para compartilhar no Pinterest(abre em nova janela)
- Clique para compartilhar no Pocket(abre em nova janela)
- Clique para compartilhar no Telegram(abre em nova janela)
- Clique para compartilhar no WhatsApp(abre em nova janela)
- Clique para enviar um link por e-mail para um amigo(abre em nova janela)