Em março de 2023 a Autoridade Nacional de Proteção de Dados – ANPD divulgou a lista dos processos administrativos em andamento para apurar a violação à Lei Geral de Proteção de Dados – LGPD, que prevê diversos tipos de penalidades, o que inclui multa de até 50 milhões de reais por infração e suspensão do funcionamento de banco de dados. Mais da metade dos processos apuram violação à Lei por falta de notificação de incidente de segurança pelo controlador à ANPD e aos titulares de dados afetados.
Nas atividades rotineiras de empresas privadas e de órgãos públicos são recorrentes os casos de incidentes de segurança com dados pessoais, que muitas vezes provocam impacto na execução das atividades e custo para tentar restabelecer as operações. Além disso, pode haver inúmeras consequências legais, como multa por quebra de contrato, indenização a terceiros prejudicados, exposição de informações confidenciais, dentre outras. Ademais, a LGPD impõe que o controlador comunique aos titulares e à ANPD a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares, possibilitando a atuação efetiva da Autoridade e que os titulares tenham ciência quando o incidente afetar significativamente seus interesses e direitos fundamentais.
Embora a LGPD tenha entrado em vigor em setembro de 2020, somente no início de 2021 a ANPD publicou as primeiras orientações sobre a comunicação de incidentes, que ainda tinham alto grau de generalidade por não especificar quais tipos de incidentes poderiam ser reportados. Em dezembro de 2022 a orientação foi atualizada para detalhar as hipóteses que deveriam ser comunicadas à Autoridade e aos titulares. Mais recentemente, em abril de 2023, a orientação foi atualizada. Entretanto, o tema não foi objeto de regulamentação até o momento.
Por isso, há poucos dias a ANPD divulgou a minuta da resolução sobre comunicação de incidente para ser debatida com diferentes especialistas. O texto da resolução está aberto para consulta pública e oferecimento de sugestões por meio da plataforma Participa Mais Brasil até 31 de maio. Além disso, em 23 de maio será realizada audiência pública de forma online para debater o tema.
De acordo com a minuta da ANPD aberta para consulta, os incidentes de segurança deverão ser comunicados em até três dias úteis, contados do conhecimento do incidente de segurança, quando, além da evidência de risco relevante, afetar pelo menos um dos seguintes tipos de dados: dados sensíveis, dados de crianças, de adolescentes ou de idosos, dados financeiros, dados de autenticação em sistemas ou dados em larga escala. Ademais, a comunicação para a ANPD deve conter algumas informações essenciais, tais como: as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente, o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente, o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos e as informações sobre o operador, quando aplicável.
Além da abertura desta consulta pública, outras movimentações da ANPD evidenciam a preocupação da Autoridade em acelerar e otimizar seu processo de fiscalização, como a recente regulamentação da dosimetria de aplicação das penalidades previstas na LGPD a qual inclui multa de até 50 milhões de reais e a divulgação de lista de processos sancionatórios.