No dia Internacional da Proteção de Dados (28/1), a Autoridade Nacional de Proteção de Dados (ANPD) anunciou sua agenda regulatória bianual (2021/2022), elencando 10 temas prioritários que serão o enfoque da autoridade, e estabelecendo se serão regulados por portaria, resolução ou eventual orientação por guias de boas práticas. Também apresentou o prazo previsto para o início de regulamentação dos temas, dividindo o lapso temporal em 3 fases:
Fase 1 (1º semestre de 2021)
- Regimento interno da ANPD
- Planejamento estratégico da ANPD
- Estabelecimento de normativos para aplicação das sanções administrativas
- Comunicação de incidentes e especificação do prazo de notificação
- Relatório de impacto à Proteção de Dados pessoais (RIPD)
- Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos
Fase 2 (1º semestre de 2022)
- Direitos dos titulares de dados pessoais
- DPO ou Encarregado
- Transferência Internacional de dados pessoais
Fase 3 (2º semestre de 2022)
- Hipóteses legais de tratamento de dados pessoais
Com essa mesma prática de transparência para a sociedade quanto às medidas que estão sendo tomadas, a ANPD informou que já está investigando casos de vazamento de dados, recomendou medidas aos titulares de dados vazados, bem como se reuniu com a Secretaria Nacional do Consumidor (SENACON) para tratar de iniciativas para tratar da proteção de dados dos consumidores.
Ainda neste contexto, e seguindo com a agenda regulatória publicada, a ANPD recentemente (22/2) iniciou seu processo de regulamentação sobre um item importante que estava em aberto na Lei Geral de Proteção de Dados Pessoais (LGPD), acerca dos incidentes de segurança.
A tomada de subsídios sobre a notificação de incidentes de segurança, nos termos do art. 48 da LGPD, deve ser enviada até 24 de março de 2021 e envolve, entre outras, as seguintes questões:
- limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daqueles cuja ameaça, se houver, pode ser desconsiderada;
- quais informações devem constar na comunicação tanto ao titular de dados, que lhe sejam úteis para salvaguarda de seus direitos, quanto à ANPD para avaliar o caso;
- quais as possíveis classificações de risco do incidente que podem ser adotadas pela ANPD, bem como os critérios para que essa classificação seja feita e as eventuais exceções em relação à obrigatoriedade de informar tanto os titulares quanto a Autoridade; e
- qual o prazo razoável para que as empresas informem tanto a ANPD quanto os titulares de dados pessoais sobre os vazamentos de dados.
Além da tomada de subsídios em questão, a ANPD disponibilizou formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como orientações sobre o que fazer em caso de um incidente. Tais documentos servirão como guia enquanto não realizada a necessária regulamentação.
Informações mais detalhadas dessas diretrizes e documentos de extrema relevância, que devem fazer parte de um Programa de Governança para Proteção de Dados Pessoais efetivo, podem ser encontrados no seguinte endereço eletrônico: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
Tais documentos servirão de guia enquanto não realizada a necessária regulamentação, porém essa prévia de orientações já anunciadas demonstram que as empresas realmente terão que possuir um Programa de Privacidade de Dados Pessoais muito bem estruturado, com medidas de segurança técnicas e administrativas, e procedimentos, políticas e controles internos eficazes, para que possam detectar devidamente qualquer incidente que cause risco ou dano relevante ao titular de dados, e para que estejam aptas a fornecer, de forma clara e concisa, todas as informações detalhadas pela ANPD relativas ao incidente.
Ademais, o prazo para comunicação, em aberto na LGPD, que dispõe que a comunicação do incidente de segurança deve ser feita em prazo razoável (art. 48, § 1º), já foi objeto de posicionamento pela ANPD, que anunciou que enquanto não houver a regulamentação, recomenda-se que após a ciência do evento adverso, a ANPD seja comunicada em até 2 dias úteis, contados da data do conhecimento do incidente. Sendo assim, as empresas deverão estar amparadas por instrumentos de seu Programa de Proteção de Dados Pessoais que possibilitem uma comunicação efetiva e célere.
*Camila Chizzotti é sócia da área de compliance do Ogawa, Lazzerotti e Baraldi Advogados
