A Resolução CD/ANPD nº 15, de 24 de abril de 2024, estabelece diretrizes sobre a comunicação de incidentes de segurança à Autoridade Nacional de Proteção de Dados (ANPD). Os principais pontos relacionados à comunicação de incidentes de segurança são:
Definição de Incidente de Segurança:
O incidente de segurança é definido como qualquer evento que possa comprometer a segurança ou a proteção de dados pessoais, incluindo eventos que resultem em acesso não autorizado, vazamento, alteração, destruição ou qualquer forma de comprometimento dos dados.
Obrigação de Comunicação à ANPD:
Tanto os controladores quanto os operadores de dados têm a obrigação de comunicar à ANPD qualquer incidente de segurança que possa acarretar risco ou dano aos titulares dos dados, conforme estabelecido na LGPD.
Prazo para Comunicação:
A comunicação do incidente de segurança à ANPD deve ser realizada pelo controlador no prazo de três dias úteis, contados a partir da data da ocorrência do incidente, ressalvada a existência de prazo para comunicação previsto em legislação específica.
Conteúdo da Comunicação:
A comunicação do incidente à ANPD deve conter informações detalhadas sobre o evento, incluindo a descrição do incidente, os dados pessoais afetados, as possíveis consequências para os titulares dos dados, as medidas técnicas e organizacionais adotadas para mitigar os riscos, entre outros dados relevantes.
Responsabilidade pelo Registro e Comunicação:
Tanto o controlador quanto o operador de dados têm responsabilidade pelo registro e comunicação dos incidentes de segurança, podendo ser necessário estabelecer procedimentos claros e responsabilidades definidas em contratos ou acordos entre as partes.
Esses são os principais pontos relacionados à comunicação de incidentes de segurança conforme estabelecido na Resolução CD/ANPD nº 15/2024, destacando os prazos e as diretrizes para a comunicação eficaz à ANPD em casos de violações de segurança de dados pessoais.