Consulta Pública sobre Comunicação de Incidentes de Segurança com Dados Pessoais
Nesta terça-feira, dia 02/05/2023, a Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”) abriu consulta pública sobre regulamento de comunicação de incidente de segurança com dados pessoais. A Consulta, aberta à toda sociedade, estará disponível para recebimento de contribuições na plataforma Participa Mais Brasil entre os dias 02 e 31 de maio de 2023.
Além de conceitos importantes, a minuta traz os critérios a serem observados pelo Controlador para efetivar a comunicação de incidentes de segurança, delimitando a algumas categorias de dados pessoais, quais sejam: dados sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; ou dados em larga escala.
A minuta também fixa o prazo de três dias úteis para a comunicação, pelo Controlador, à ANPD e aos titulares acerca do incidente de segurança com dados pessoais, bem como os elementos que devem conter na comunicação. Excepcionalmente, a Minuta autoriza a complementação das informações para a ANPD, no prazo de vinte dias úteis, a contar do momento em que o controlador tomou conhecimento do incidente, prorrogável uma vez, por igual período, mediante solicitação fundamentada a ser avaliada pela ANPD. Ressalte-se que, para os agentes de tratamento de pequeno porte, os prazos são contados em dobro.
Foi contemplada também a nova obrigação de o controlador manter o registro de incidentes de segurança com dados pessoais, inclusive daqueles não comunicados à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contados a partir da data do registro.
O texto detalha os procedimentos de Apuração de Incidente de Segurança e o de Comunicação de Incidente de Segurança. E, ao final, trata das hipóteses de extinção do processo de comunicação de incidente de segurança com dados pessoais.
A íntegra da Minuta da Resolução/Regulamento pode ser acessada pelo seguinte link.