Editorial
01/03/2021ANPD: regulamentação da LGPD e incidentes de segurança de dados pessoais
Consultor da FecomercioSP explica como informar em caso de incidente de segurança de dados pessoais
"A ANPD, com uma estrutura extremamente enxuta, segue uma importante pauta regulatória visando a almejada segurança jurídica da Lei", escreve
(Arte: TUTU)
*Por Rony Vainzof
No dia Internacional da Proteção de Dados Pessoais (28/01), a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou sua agenda regulatória bianual para 2021-2022, elencando 10 itens prioritários, os quais seguem abaixo:
1º semestre de 2021
*Regimento interno da ANPD;
*Planejamento estratégico da ANPD;
*Estabelecimento de normativos para aplicação das sanções administrativas;
*Comunicação de incidentes e especificação do prazo de notificação;
*Relatório de Impacto à Proteção de Dados Pessoais;
*Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos.
1º semestre de 2022
*Direitos dos titulares de dados pessoais;
*DPO ou encarregado de proteção de dados;
*Transferência Internacional de dados pessoais.
2º semestre de 2022
*Hipóteses legais de tratamento de dados pessoais.
Microempresas, empresas de pequeno porte e startups
No dia seguinte (29/01), publicou a tomada de subsídios sobre a regulamentação da LGPD para microempresas e empresas de pequeno porte, bem como startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos, conforme nota técnica 01/2021/CGN/ANPD.
Entenda mais sobre o assunto:
Prepare sua empresa para a nova Lei Geral de Proteção de Dados e evite multas
LGPD entra em vigor; reveja webinário e saiba o que fazer
MP 959 é aprovada sem prorrogação da entrada em vigor da LGPD para 2021
A ANPD busca, com isso, identificar instrumentos regulatórios que sejam capazes de proteger o titular dos dados e, ao mesmo tempo, de incentivar e promover a inovação.
Após análise das contribuições trazidas na tomada de subsídios em questão, será elaborada e submetida à Consulta Pública uma minuta com a proposta de regulamentação, acompanhada do Relatório de Análise de Impacto Regulatório.
Sugestões para a regulamentação do tema, conforme a ANPD:
– Atender a solicitações do titular sem custos para este e nos prazos previstos em regulamento;
– Manutenção do registro das operações de tratamento de dados pessoais;
– Elaboração de relatório de impacto à proteção de dados pessoais;
– Tratamento de dados em conformidade com a legislação;
– Indicação do encarregado de tratamento de dados pessoais;
– Portabilidade de dados dos titulares; e
– Garantia de segurança, boas práticas e governança de dados pessoais.
O prazo para a tomada de subsídios sobre o tema, que deve ser realizada por meio de formulário próprio, se encerra em 01/03/21.
Conselho Nacional de Proteção de Dados Pessoais
No dia 04/02, a ANPD convocou a sociedade para formação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), com publicação dos Editais com vistas à formação de lista tríplice, pela ANPD, para as seguintes vagas do Conselho:
– três de organizações da sociedade civil com atuação comprovada em proteção de dados pessoais;
– três de instituições científicas, tecnológicas e de inovação;
– três de confederações sindicais representativas das categorias econômicas do setor produtivo;
– duas de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
– duas de entidades representativas do setor laboral.
Conforme Decreto 10.474/20, após recebimento das indicações, o Conselho Diretor formará lista tríplice de titulares e suplentes, representantes de cada uma das entidades, que será encaminhada ao Ministro de Estado Chefe da Casa Civil da Presidência da República para nomeação pelo Presidente da República.
O CNPD é um órgão consultivo, integrante da estrutura da ANPD, composto por membros da sociedade e do poder público. Suas principais atribuições são:
– Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
– Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
– Sugerir ações a serem realizadas pela ANPD;
– Elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
– Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
A participação no CNPD é considerada prestação de serviço público relevante, não remunerada. O Conselho se reunirá em caráter ordinário três vezes ao ano e em caráter extraordinário sempre que convocado por seu Presidente.
Incidentes de segurança de dados pessoais
Seguindo com sua agenda regulatória, após a ANPD informar também que está investigando casos de vazamentos de dados, recomendar algumas medidas aos titulares de dados vazados, bem como se reunir com a Secretaria Nacional do Consumidor (Senacon) para tratar de acordo para proteção de dados dos consumidores, ontem (22/02), iniciou seu processo de regulamentação sobre incidentes de segurança.
A tomada de subsídios sobre a notificação de incidentes de segurança, nos termos do art. 48, da LGPD, deve ser enviada até o dia 24 de março de 2021 e envolve, entre outras, as seguintes questões:
– limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daqueles cuja ameaça, se houver, pode ser desconsiderada;
– quais informações devem constar na comunicação tanto ao titular de dados, que lhe sejam úteis para salvaguarda de seus direitos, quanto à ANPD para avaliar o caso;
– quais as possíveis classificações de risco do incidente que podem ser adotadas pela ANPD, bem como os critérios para que essa classificação seja feita e as eventuais exceções em relação à obrigatoriedade de informar tanto os titulares quanto a Autoridade; e
– qual o prazo razoável para que as empresas informem tanto a ANPD quanto os titulares de dados pessoais sobre os vazamentos de dados.
Além da tomada de subsídios em questão, a ANPD disponibilizou formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como orientações sobre o que fazer em caso de um incidente. Tais documentos servirão como guia enquanto não realizada a necessária regulamentação. Vejamos alguns pontos de extrema relevância:
O que fazer em caso de incidente de segurança de dados pessoais?
– Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade de dados afetados, consequências concretas e prováveis;
– Comunicar ao encarregado (Art. 5º, VIII da LGPD);
– Comunicar ao controlador, se você for o operador;
– Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
– Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).
O que comunicar à Autoridade Nacional de Proteção de Dados?
A ANPD recomenda que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Eventual e comprovada subavaliação dos riscos e danos por parte dos controladores, segundo a ANPD, pode ser considerada descumprimento à legislação.
As informações devem ser claras e concisas. Além do previsto § 1º do artigo 48 da LGPD, a ANPD recomenda que a comunicação contenha as seguintes informações:
1. Identificação e dados de contato de: entidade ou pessoa responsável pelo tratamento; encarregado de dados ou outra pessoa de contato;
2. Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar;
3. Informações sobre o incidente de segurança de dados pessoais:
– Data e hora da detecção;
– Data e hora do incidente e sua duração;
– Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, entre outros;
– Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;
– Resumo do incidente de segurança dos dados pessoais, com indicação da localização física e meio de armazenamento;
– Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;
– Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador;
– Resumo das medidas implementadas até o momento para controlar os possíveis danos;
– Possíveis problemas de natureza transfronteiriça;
– Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
4. Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.
5. No momento da comunicação preliminar, deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las.
6. A ANPD também poderá requerer informações adicionais a qualquer momento.
Em que situação e o que comunicar ao titular dos dados?
1. Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados;
2. Critérios mais objetivos serão objeto de futura regulamentação e não poderão ser aqui exigidos sob pena de se inovar na LGPD;
3. De toda forma, a ANPD entende ser possível extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver:
– Dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
– Tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;
– Da mesma forma, a ANPD entende que é preciso considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
4. O controlador deverá avaliar internamente a relevância do risco ou dano do incidente de segurança para determinar se deverá comunicar à ANPD e ao titular.
Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
1. A LGPD determina que a comunicação do incidente de segurança seja feita em prazo razoável (art. 48, § 1º), conforme será definido pela ANPD.
2. Embora não tenha havido regulamentação nesse sentido, a realização da comunicação demonstrará transparência e boa-fé e será considerada em eventual fiscalização.
3. Enquanto pendente a regulamentação, recomenda-se que, após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?
Formulário eletrônico disponível no site e mediante envio por meio de Peticionamento Eletrônico – Usuário Externo. Para maiores informações sobre o envio, acesse: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
Assim, após a eficácia da LGPD em setembro de 2020 e pouco mais de 3 meses da sua criação, a ANPD, com uma estrutura extremamente enxuta, segue uma importante pauta regulatória visando a almejada segurança jurídica da Lei, bem como o compromisso de construir um ambiente de respeito aos direitos dos titulares dos dados pessoais, de forma equilibrada com o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor.
*Rony Vainzof é consultor da FecomercioSP.