Em 23 de dezembro de 2022 a ANPD publicou novo formulário para comunicação de incidentes de segurança pelos controladores de dados pessoais.
Prevista pela Lei Geral de Proteção de Dados Pessoais, a comunicação de incidente de segurança permite aos titulares tomarem conhecimento de eventuais violações de seus dados pessoais.
Possibilita, ainda, que os agentes de tratamento demonstrem à ANPD o cumprimento de suas obrigações legais relativas ao incidente e a adoção de medidas de segurança adequadas às suas atividades de tratamento de dados.
O novo formulário foi desenvolvido para facilitar o preenchimento pelos controladores e a análise das comunicações de incidentes pela ANPD. No documento foi ampliado o uso de respostas estruturadas e também foram incluídas orientações sobre o processo de comunicação de incidentes no corpo do formulário.
O que chamou a atenção no novo modelo foi o seguinte:
a) Prazo de 2 dias úteis para comunicação à ANPD e aos titulares sobre incidentes mais graves, que antes se apresentava apenas como uma orientação, está cada vez mais sacramentado pela autoridade, e é trazido expressamente no novo modelo sem o caráter sugestivo;
b) Mais detalhes na descrição do incidente como, por exemplo: a) quando ocorreu, b) quando tomou ciência, c) quando comunicou à ANPD, d) quando comunicou aos titulares;
c) Descrição padronizada do tipo de incidente. Por exemplo, o requerente pode comunicar que foi um ransomware (sequestro de dados), um vírus, um ataque de força bruta, dentre outras opções;
d) Descrição sobre os impactos do incidente a respeito da confidencialidade, integridade e disponibilidade;
e) Caso os titulares tenham sido comunicados, como ocorreu a comunicação (e-mail, carta, publicação, etc.).
Outro benefício esperado é a melhoria da qualidade das respostas para permitir a estruturação de uma base de dados confiável sobre incidentes de segurança.
Para enviar o formulário é preciso encaminhá-lo em formato pdf, por meio do Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
Recomendamos aos nossos clientes que o cadastro seja feito o quanto antes, pois demora alguns dias para a Presidência da República validar o acesso após o envio da documentação cadastral.
Luiz Fernando Picorelli
Consultor jurídico, CIPM e CDPO/BR pela International Association of Privacy Professionals – IAPP
