No dia 23/12/2022, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou o novo formulário de Comunicação de Incidentes de Segurança (CIS) com orientações e recomendações atualizadas sobre o tema.
A comunicação de incidente de segurança à ANPD deverá ser feita por meio do novo formulário CIS (disponível no Sistema Único de Processos Eletrônico em Rede (SUPER.BR) e protocolada eletronicamente.
Conforme apontado pela ANPD, a mera existência de uma vulnerabilidade em um sistema de informação não constitui um incidente de segurança. A exploração da referida vulnerabilidade, no entanto, pode resultar em um incidente. Desse modo, as organizações devem estar preparadas para serem capazes de identificar, tratar e avaliar os riscos existentes caso a caso, de acordo com o tipo de incidente de segurança ocorrido.
Somente aqueles que são considerados controladores de dados (conforme definição prevista na Lei Geral de Proteção de Dados – LGPD) possuem o dever de comunicar incidentes de segurança à ANPD. Cabe lembrar que, para a LGPD, é dever do controlador comunicar tanto à ANPD quanto aos titulares de dados sobre os incidentes de segurança que possam gerar riscos ou danos relevantes aos titulares. Será, portanto, tarefa do controlador analisar se a violação ocorrida possui um potencial lesivo tal que possa acarretar um dano ou um efeito adverso nos direitos e liberdades dos titulares, e isso deve ser realizado dentro de um prazo determinado (2 (dois) dias úteis após ocorrência do evento, conforme explicado abaixo, conforme recomendação da ANPD**).
Pode ser considerado um incidente de segurança qualquer evento inesperado que comprometa a integridade, confidencialidade ou a disponibilidade dos dados pessoais, tal como um acesso não autorizado a informações, perda, alteração, vazamento ou, ainda, qualquer forma inadequada ou ilícita de se tratar dados pessoais que possa ocasionar risco ou dano relevante aos direitos do titular.
A ANPD, cita como exemplos de situações que podem ser consideradas como incidente de segurança que geram danos relevantes as seguintes**:
- Invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas, violando o sigilo bancário dos titulares e os expondo a risco de fraudes, danos morais e danos materiais;
- Indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, podendo expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde; e,
- Perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares que podem expô-los a riscos reputacionais e a fraudes financeiras.
A ANPD recomenda, ainda, que diante de situações como as descritas acima, a comunicação seja feita em até 2 (dois) dias úteis da ciência do fato. A comunicação voluntária é considerada pela ANPD como demonstração de transparência, cooperação e boa-fé do controlador, de modo que o atraso injustificado na realização pode gerar sanções administrativas, como advertência, multa, divulgação pública do incidente, ou até bloqueio e/ou eliminação da base de dados do controlador.
Caso o controlador não tenha todas as informações sobre o incidente, a comunicação à ANPD poderá, excepcionalmente, ser feita em duas etapas:
- preliminar, em até dois dias úteis da ciência; e,
- complementar em até 30 (trinta) dias corridos contados da comunicação preliminar.
Em todas as situações o controlador deverá ser capaz de responder de imediato perguntas como: de que forma e quando tomou conhecimento do incidente, de que maneira o incidente afeta os dados pessoais, as prováveis consequências do incidente para os titulares, além de outras questões elaboradas pela própria ANPD.
Para evitar atrasos inesperados relativos ao acesso do sistema de peticionamento, recomendamos que todo controlador de dados realize previamente seu cadastro e o mantenha ativo, uma vez que o prazo para a Presidência da República liberar o cadastro do usuário externo ao sistema de peticionamento é de até 3 (três) dias úteis após o recebimento da documentação.
Diante da urgência e rapidez que o controlador deve agir nas situações de incidentes de segurança, é fundamental que as empresas adotem uma estrutura de governança em proteção de dados pessoais contendo, entre outros aspectos, um plano de gestão e tratamento de incidentes que deve incluir diretrizes e procedimentos a serem seguidos caso seja apurada a necessidade de se realizar a comunicação de um incidente à ANPD e aos titulares afetados.
Por Maria Carolina Mendonça de Barros e Bruna Rosária Delfino de Abreu.
