A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje, 26, a Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS).

Segundo a autarquia, o texto tem os objetivos de mitigar ou reverter prejuízos gerados por incidentes; de assegurar a responsabilização e a prestação de contas; de promover a adoção de boas práticas de governança, prevenção e segurança; e de fortalecer a cultura de proteção de dados pessoais no País.

O RCIS prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.

O regulamento também traz os prazos para que o controlador efetive a comunicação e quais informações devem ser encaminhadas. O normativo traz, ainda, a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.

Diz ainda que a comunicação de incidente de segurança à ANPD e aos usuários deverá ser realizada em no máximo três dias úteis, quando não houver alguma lei específica setorial que estabeleça algo diferente.

As empresas também terão que detalhar à ANPD que tipo de vazamento aconteceu, especificando:

1. natureza e da categoria de dados pessoais afetados;
2. o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
3. as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;
4. os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
5. os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo;
6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
7. a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;
8. os dados do encarregado ou de quem represente o controlador;
9. a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;
10. a identificação do operador, quando aplicável;
11. a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
12. o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.

Aos usuários, deverão emitir comunicado menos detalhado, mas que informa que incidente aconteceu, o que está fazendo para corrigir o problema, os riscos ao usuários devido ao vazamento, porque não comunicou antes o incidente, caso a data de conhecimento esteja distante, e contato para o titular buscar mais informações.