A Resolução nº 15 da ANPD não é apenas um conjunto de regras, mas sim um abraço de segurança para os dados pessoais de todos nós. Ela guia os controladores de dados e os encarregados de proteção de dados (DPOs) através de um labirinto de responsabilidades e procedimentos, assegurando que cada passo seja tomado com a máxima transparência e respeito aos direitos dos titulares. O DPO desempenha um papel crucial nessa dança de proteção, sendo o guardião atento que monitora cada movimento, desde a classificação e comunicação de incidentes até as medidas de mitigação e protocolos de encerramento. Sua presença não é apenas necessária, é essencial para garantir que a sinfonia do tratamento de dados seja executada harmoniosamente, protegendo aqueles que confiam seus dados conosco.

Abaixo, vamos discutir os principais pontos da Resolução CD/ANPD nº 15, de 24 de abril de 2024, comentando sobre esses itens que parecem trazer novas considerações ou reforçar as que já conhecemos!

Critérios para Incidentes Significativos (Art. 5º):

Incidentes considerados de risco ou dano relevante aos titulares envolvem dados que, se comprometidos, podem afetar significativamente interesses e direitos fundamentais. Estes incluem:

a. Dados pessoais sensíveis.

b. Dados de crianças, adolescentes ou idosos.

c. Dados financeiros.

d. Dados de autenticação em sistemas.

e. Dados protegidos por sigilo legal, judicial ou profissional.

f. Dados em larga escala.

g.São especialmente preocupantes incidentes que possam impedir o exercício de direitos ou a utilização de serviços, causar danos materiais ou morais como discriminação, violação da integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Este artigo destaca a gravidade dos incidentes de segurança envolvendo dados sensíveis, financeiros e protegidos legalmente, podendo impactar significativamente direitos fundamentais e causar danos morais e materiais. O papel crucial do Encarregado de Proteção de Dados (DPO) é evidenciado, especialmente na gestão de dados sensíveis e incidentes em larga escala. O DPO supervisiona e orienta práticas de segurança, promove uma cultura de proteção de dados na organização e colabora na implementação de políticas e procedimentos adequados. Sua atuação é essencial para garantir o manuseio seguro dos dados e prevenir impactos adversos nos direitos dos titulares.

Prazo para Comunicação à ANPD (Art. 6º):

O controlador deve comunicar incidentes de segurança à ANPD dentro de três dias úteis, a menos que outra legislação especifique um prazo diferente. Este artigo estipula que controladores de dados devem notificar a ANPD sobre incidentes de segurança no prazo de três dias úteis, salvo se outra legislação determinar um prazo diferente. Este prazo curto enfatiza a urgência e a importância de uma resposta rápida para mitigar potenciais danos e informar as autoridades competentes.

Nesse processo, o trabalho do Encarregado de Proteção de Dados (DPO) é essencial. O DPO deve assegurar que todos os procedimentos necessários para a notificação sejam cumpridos dentro do prazo estipulado e que a documentação relevante seja preparada e apresentada adequadamente à ANPD. Ele também desempenha um papel fundamental na coordenação da resposta ao incidente, garantindo que as ações tomadas estejam em conformidade com a legislação de proteção de dados.

Medidas Pós-Incidente (Art. 19, § 7º):

Na resposta a incidentes, devem ser consideradas medidas que garantam a confidencialidade, integridade, disponibilidade e autenticidade dos dados afetados e minimizem os impactos para os titulares dos dados.

O Art.19 , destaca que após um incidente de segurança, as medidas adotadas devem proteger a confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais afetados e minimizar impactos aos titulares. O trabalho do Encarregado de Proteção de Dados (DPO) é crucial neste contexto, pois ele deve orientar e monitorar a implementação destas medidas, garantindo que as ações estejam em conformidade com a legislação e efetivamente protejam os dados e os direitos dos indivíduos envolvidos. O DPO também deve assegurar a comunicação eficaz entre o controlador de dados e a ANPD, além de participar ativamente na resposta ao incidente.

Extinção do Processo de Comunicação de Incidente de Segurança (Art. 23):

a. O processo pode ser declarado extinto nas seguintes condições:

b. Ausência de evidências suficientes da ocorrência do incidente, com possibilidade de reabertura se surgirem novos fatos.

c. Avaliação pela ANPD de que o incidente não tem potencial de risco ou dano significativo aos titulares.

d. Não envolvimento de dados pessoais no incidente.

e. Implementação de todas as medidas necessárias para mitigar ou reverter os efeitos do incidente.

f. Comunicação realizada aos titulares e providências tomadas pelo controlador em conformidade com a Lei Geral de Proteção de Dados (LGPD), este regulamento e determinações da ANPD.

Neste artigo podemos perceber  as condições sob as quais o processo de comunicação de incidente de segurança pode ser declarado extinto, incluindo a ausência de evidências suficientes, avaliação de baixo risco pela ANPD, não envolvimento de dados pessoais, implementação de medidas corretivas, ou comunicação adequada aos titulares.

Neste contexto, o trabalho do Encarregado de Proteção de Dados (DPO) é fundamental. O DPO ajuda a garantir que todas as medidas e comunicações necessárias sejam adequadamente implementadas e documentadas. Ele também assessora o controlador na avaliação e na documentação da ausência de riscos ou na eficácia das medidas mitigatórias adotadas. Além disso, o DPO desempenha um papel crucial na manutenção de registros precisos e na coordenação com a ANPD para satisfazer as exigências regulatórias e facilitar a potencial reabertura do caso se novos fatos surgirem. Este trabalho ajuda a garantir a conformidade com a LGPD e reforça a governança de dados dentro da organização.

Comunicação aos Titulares de Dados (Art. 9):

a. A comunicação do incidente aos titulares deve ser feita em linguagem simples e clara.

b. A comunicação deve ser direta e individualizada sempre que possível.

c. Se a comunicação direta for inviável ou se os titulares não puderem ser identificados, o controlador deve utilizar todos os meios disponíveis de divulgação para garantir a ampla visibilidade do incidente por, no mínimo, três meses.

d. Recomendações para mitigar ou reverter os efeitos do incidente podem ser incluídas na comunicação como uma boa prática.

O Artigo 9 da Resolução nº 15 da ANPD estabelece diretrizes claras para a comunicação de incidentes de segurança aos titulares de dados. Primeiramente, a comunicação deve ser feita em linguagem simples e clara, garantindo que todos os titulares possam entender o ocorrido. Além disso, deve ser direta e individualizada sempre que possível. Nos casos em que isso não for viável ou os titulares não puderem ser identificados, o controlador deve utilizar diversos meios de comunicação para garantir que o incidente seja amplamente conhecido por pelo menos três meses. Incluir recomendações sobre como os titulares podem mitigar ou reverter os efeitos do incidente também é essencial.

Neste processo, o trabalho do Encarregado de Proteção de Dados (DPO) é vital. O DPO deve orientar e monitorar como essas comunicações são preparadas e entregues, garantindo que cumpram com as normas estabelecidas pela ANPD. O DPO também assessora o controlador na escolha dos meios de divulgação mais eficazes e na formulação das recomendações para os titulares, ajudando a minimizar os danos potenciais e a restaurar a confiança na gestão dos dados pessoais.

Registro do Incidente (Art. 10):

a. O controlador deve manter registros de todos os incidentes de segurança por um período mínimo de cinco anos.

b. Os registros devem incluir detalhes como a data do incidente, descrição, natureza e categoria dos dados afetados, número de titulares afetados, avaliação de riscos, medidas de correção aplicadas, detalhes da comunicação feita, e os motivos para não comunicar, se aplicável.

c. A responsabilidade de manter esses registros atualizados é crucial para o Encarregado de Proteção de Dados (DPO).

O Artigo 10 da Resolução nº 15 da ANPD obriga controladores a manter registros de incidentes de segurança por no mínimo cinco anos, documentando detalhes como data, descrição, tipo de dados afetados, número de titulares impactados, avaliação de riscos, medidas corretivas e comunicações com os titulares. O Encarregado de Proteção de Dados (DPO) tem papel fundamental nesse processo, assegurando a precisão e segurança desses registros, orientando sobre a documentação adequada e avaliando a eficácia das medidas de correção. O DPO também garante que as práticas estejam em conformidade com as normas da ANPD e ajudam a prevenir futuros incidentes.

Intervenção e Medidas Preventivas da ANPD (Art. 15):

a. A ANPD pode exigir que o controlador adote medidas preventivas imediatas para proteger os direitos dos titulares, mesmo sem uma manifestação prévia do controlador.

b. A ANPD tem autoridade para impor multas diárias para garantir a adesão a essas medidas.

O Artigo 15 da Resolução nº 15 da ANPD autoriza a agência a demandar que controladores implementem medidas preventivas imediatas para proteger os direitos dos titulares de dados, podendo impor multas diárias para assegurar conformidade. O papel do Encarregado de Proteção de Dados (DPO) é essencial aqui, pois ele deve garantir que o controlador esteja sempre preparado para agir rapidamente conforme exigido pela ANPD. O DPO assessora na implementação de práticas de segurança adequadas e na manutenção de um plano de resposta a incidentes, sendo crucial para prevenir multas e garantir a proteção efetiva dos dados pessoais.

Divulgação do Incidente (Art. 19, §§ 3 e 4):

a. A ANPD pode exigir que o incidente seja amplamente divulgado em meios de comunicação às custas do controlador se a comunicação inicial for insuficiente para alcançar todos os titulares afetados.

b. A extensão da divulgação deve ser proporcional à abrangência de atuação do controlador e à localização dos titulares afetados.

O Artigo 19, parágrafos 3 e 4, da Resolução nº 15 da ANPD destacam que, caso a comunicação inicial de um incidente de segurança seja insuficiente, a ANPD pode exigir que o incidente seja amplamente divulgado em meios de comunicação, com as despesas sendo de responsabilidade do controlador. A extensão desta divulgação deve ser proporcional ao alcance de operação do controlador e à localização dos titulares dos dados afetados, garantindo que todos os possivelmente impactados sejam adequadamente informados. O Encarregado de Proteção de Dados (DPO) desempenha um papel crucial aqui, orientando o controlador sobre como realizar essa divulgação de forma eficaz e em conformidade com as exigências da ANPD, assegurando que as práticas adotadas respeitem tanto a legislação vigente quanto os direitos dos titulares dos dados.

Conclusão:

Diante das exigências da Resolução nº 15 da ANPD, fica evidente que o papel do Encarregado de Proteção de Dados (DPO) é essencial para garantir a conformidade e a eficácia das práticas de segurança e privacidade de dados. Sua orientação e supervisão são cruciais em todas as etapas, desde a classificação de incidentes até a comunicação aos titulares e a implementação de medidas pós-incidente, contribuindo para uma gestão responsável e transparente dos dados pessoais.