No último dezembro 2022 a Autoridade de Proteção de Dados (ANPD) reformulou orientações para incidentes de segurança. As mudanças traduzem uma nova etapa de atuação da ANPD e se traduzem por algumas premissas que devem ser detalhadas a seguir.
No registro de incidentes de segurança, a Autoridade passou a exigir que o controlador declare se é ou não agente de tratamento de pequeno e médio porte, conforme os requisitos estabelecidos na Resolução CD/ANPD n.º 2/2022.
A classificação de agente de pequeno ou médio porte indica o enquadramento em regime legal diferenciado que prevê prazo em dobro e procedimento simplificado para comunicação de incidentes de segurança.
A declaração positiva pode gerar a exigência da ANPD de comprovação da declaração, inclusive o enquadramento diverso da empresa, passando a exigir as demais obrigações legais, tal como a indicação do Encarregado pelo tratamento de dados pessoais, o que pode resultar na fiscalização e posterior aplicação de maiores penalidades.
Além disso, no registro do incidente se segurança, a ANPD passa a questionar também sobre a adoção de meios para dificultar ou impossibilitar a identificação dos titulares. Até então, a identificação do titular era questão levada em conta apenas para aferir a caracterização da informação enquanto dado pessoal.
Neste contexto, a ANPD passa a indicar uma mudança de posicionamento que é reforçado quando observado que expressamente estabelece a identificação dos titulares de dados como critério a ser considerado na avaliação de risco ou de dano aos titulares e, assim, a existência do dever legal de comunicação.
A partir de agora, a autoridade passa a exigir que o agente de tratamento indique se havendo o incidente já procedeu à comunicação aos titulares interessados e quando deverá assim fazê-lo. O que denota que a identificação de uma política específica e de um plano de respostas a incidentes adotados pelos agentes de tratamento deverão ser encarados como um balizador positivo.
A comunicação com os titulares também é tratada pela ANPD, indicando que deverá ser individualizada. Havendo, entretanto, outra maneira ou método de comunicação do incidente de segurança, como em redes sociais (por exemplo), deverá o agente de tratamento justificar as razões pelas quais não a fará de forma individualizada.
Na esteira de novas exigências, a ANPD determina que os agentes de tratamento sejam capazes de identificar os impactos possíveis ou efetivos do incidente de segurança para cada um dos grupos de titulares atingido, o que denota que a preparação e o apoio de métodos e de pessoal capacitado para lidar com o incidente deverá ganhar pontos com a autoridade de proteção de dados.
Os novos posicionamentos da ANPD nos trazem a certeza de um amadurecimento no que concerne a incidentes de segurança que acabam por trazer valorização para toda a cadeira regulatória, deixando maior segurança jurídica aos titulares e aos agentes de tratamento valorizando o zelo e a diligência com a legislação de proteção de dados.
Comments